Analyse Loghighjack et sasser

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse Loghighjack et sasser

Messagede stheto » 03 Mar 2005, 15:28

Salut
Je viens de m'apercevoir qu'il y avait un forum spécifique pour analyse mais comme j'avais commencé par un problème avec sasser (voir forum sécurité) j'ai continué là bas
Alors voici mon log
Logfile of HijackThis v1.99.1
Scan saved at 15:09:34, on 03/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\Rar$EX00.954\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D9196E60-5960-4B38-9668-9B78FC2ECBEC} - C:\WINDOWS\mrhop.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] "E:\Kazaa Lite K++\kpp.exe" "E:\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spywatch] C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [FreeGo] C:\Documents and Settings\Nicolas\FreeGo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra 'Tools' menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7790868973
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://ohmytrance.com/tv/nsvplayx_vp3_mp3.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx
O18 - Filter: text/html - {2D193AD8-B564-4B22-A1CF-8EE98910257E} - C:\WINDOWS\mrhop.dll
O18 - Filter: text/plain - {2D193AD8-B564-4B22-A1CF-8EE98910257E} - C:\WINDOWS\mrhop.dll
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe

Merci à tous ceux qui pourront m'aider
Bye
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede Cyrrus » 03 Mar 2005, 19:17

Deja ta version d'internet explorer n'est plus d'actualité. Assure toi donc de faire toutes les mises à jour necessaires.
Ensuite, Hijackthis n'est pas installé au bonne endroit
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\Rar$EX00.954\HijackThis.exe

Installe le dans un dossier specifique ( C:\Hijackthis\Hijackthis.exe )
A+
Image
Avatar de l’utilisateur
Cyrrus
 
Messages: 11
Inscription: 14 Fév 2005, 09:45

Messagede pierre » 03 Mar 2005, 19:43

Bonjour,

Tu peux déjà fixer toutes les lignes marquées "File Missing" (fichier manquant devant se trouver sur C:)
et toutes les lignes marquées en gras

Désactiver les points de restauration
http://assiste.com.free.fr/p/comment/ac ... ration.php

Télécharger CWShredder et l'exécuter
http://assiste.com.free.fr/p/internet_u ... redder.php

Logfile of HijackThis v1.99.1
Scan saved at 15:09:34, on 03/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
Tuer ce processus - renommer le fichier en n'importe quoi pour l'empêcher de se relancer.

C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Messenger\msmsgs.exe
Source d'ennuis

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

Tuer ces processus - probablement inutiles

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe
Tuer ce processus - voir ce que nous pensons ici des mises à jour automatiques
http://assiste.com.free.fr/p/internet_a ... tiques.php
http://assiste.com.free.fr/p/internet_c ... r_auto.php

C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\Rar$EX00.954\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
C'est quoi, ça ?


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
Fixer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
Fixer

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - Default URLSearchHook is missing
Fixer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {D9196E60-5960-4B38-9668-9B78FC2ECBEC} - C:\WINDOWS\mrhop.dll (file missing)
Fixer

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
Fixer

O4 - HKLM\..\Run: [KAZAA] "E:\Kazaa Lite K++\kpp.exe" "E:\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
Pas sûr que cela soit utile au démarrage

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
Mouais...

O4 - HKCU\..\Run: [spywatch] C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
Ne pas utiliser cette m...
Lire http://assiste.com.free.fr/p/faux_utili ... emover.php

O4 - HKCU\..\Run: [FreeGo] C:\Documents and Settings\Nicolas\FreeGo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: PowerReg SchedulerV2.exe
Fixer ce rappel d'enregistrement agaçant

O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

Inutile très probablement

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
S'il s'agit de votre ordinateur perso et que personne d'autre n'y touche, c'est inutile (positionné par SpyBot à votre demande - certainement)

O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra 'Tools' menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Fixer toutes ces lignes qui ne correspondent à aucun fichier

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7790868973

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://ohmytrance.com/tv/nsvplayx_vp3_mp3.cab
Fixer

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx
Est-ce une nécessité - oblige à utiliser Internet Explorer dont il serait préférable d'oublier même le nom et passer à Mozilla Suite ou Mozilla Firefox

O18 - Filter: text/html - {2D193AD8-B564-4B22-A1CF-8EE98910257E} - C:\WINDOWS\mrhop.dll
O18 - Filter: text/plain - {2D193AD8-B564-4B22-A1CF-8EE98910257E} - C:\WINDOWS\mrhop.dll

Fixer !!! Probable variante CoolWebSearch - utiliser CWShredder - ne semble pas avoir eu le temps de s'installer. Détruire tout de suite.

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe


Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27333
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

plus amples explications

Messagede stheto » 05 Mar 2005, 16:16

Salut :wink:
Merci pour cette analyse mais j'ai quelques questions si vous voulez bien:
-que veut dire fixer et surtout comment le faire?
-comment modifier toutes ces lignes ou les detruire?
-si j'ai bien compris le lien restauration il faut la desactiver avant de modifier ces lignes puis la réactiver?
-voyez vous apparaitre sasser dans ces lignes?
Merci de votre patience
PS:j'ai pourtant supprimé spyware remover au profit de spybot et on le retouve qd meme dans les lignes??! :frown:
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

analyse spybot

Messagede stheto » 05 Mar 2005, 17:09

Salut
Ds la manip highjack on doit faire une analyse spybot:or , a chaque analyse je retrouve "conducent TS" "Attune" "DSO Exploit"
que spybot ne peut pas supprimer sans redémaarrer et meme apres ceci je les retrouve a chaque anlyse
Est-ce normal? :Mouaaarrrrffffffff:
Merci Bye
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede le gromleux » 05 Mar 2005, 17:43

bonjour Stheto,

quelques explications complémentaires concernant HijackTHis :

Faire un backup c’est faire une sauvegarde c’est à dire que si tu entreprends une modification et que,pour une raison ou pour une autre, cela ne te satisfait pas ( ou cela perturbe le fonctionnement de ton PC ), tu peux revenir en arrière.

A chaque fois qu’un logiciel prévoit cette possibilité de sauvegarde (backup en anglo-saxon), tu as cette possibilité de retour en arrière : le logiciel te propose alors le bouton correspondant.

Pour ce qui est de ton log HijackThis (HJT), avant d’entreprendre quoi que ce soit, tu cliques sur le bouton « Config.. » de la fenêtre principale de HJT et, dans la fenêtre qui apparaît, tu vérifies que la case « make backups before fixing items » est bien cochée ( tout ce que tu feras alors à partir de ton scan sera sauvegardé).

Reviens dans la fenêtre principale de HJT et cliques sur « Scan » ; le scan fait par HJTapparaît alors.
Coche les cases des lignes à supprimer (cf messages ci-dessus) et une fois cela fait, clique sur « Fix checked » : les lignes sont maintenant « fixées » c’est à dire corrigées.

Tu peux redémarrer ton ordinateur pour que les modifications soient bien prises en compte.

Si un problème survient au redémarrage ou que tu souhaites rétablir quelque chose que tu tiens à garder, relance HJT, cliques sur « Config.. » puis sur « Backups » : apparaissent alors dans la fenêtre les lignes que tu as précédemment fixées .
Cette fenêtre t’indique, en anglais, que c’est là la liste des items qui sont sauvegardés. Tu peux les rétablir ( un ou plusieurs : tu surlignes ton/tes choix et tu cliques sur « Restore » ), ce qui fait que le prochain scan HJT les redétectera à nouveau – à moins que tu ne les mettes dans une « Ignore List » ( c’est-à-dire la liste des items à ignorer par le scan HJT) ou alors tu peux les détruire définitivement (surligne ton/tes choix puis clique sur « Delete » ou tous les items, clique alors sur « Delete all » ) ;

Si tu n’es pas sûr de toi, ne touche à rien avec « ignorelist » et avec les boutons « Delete » : laisse ta sauvegarde telle quelle (sauf si tu souhaites rétablir des lignes, cf supra).

Tu peux y aller progressivement c'est-à-dire fixer quelques lignes ( voire une seule ! ) à la fois et voir comment ta machine réagit ;

Pour info, un dossier « backups » est créé dans ton dossier HJT quand des items sont sauvegardés.

J’espère avoir été clair et complet ; bon courage.

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Merciiii

Messagede stheto » 05 Mar 2005, 18:00

Superbes explications!Merci beaucoup c'est très clair!
Et puis que j'aime abuser des bonnes choses peux-tu me dire si je dois desactiver la restauration de windows xp avant de faire la manip highjack pour ensuite décocher à nouveau la desactivation de restauration windows
J'espere etre moi aussi un minimum clair mais je n'en suis pas sur
Merci :wink:
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Nouvelle analyse

Messagede stheto » 05 Mar 2005, 18:43

Salut
Après les conseils donnés dans la manip pour realiser un bon highjack voici mon nouveau log highjack fait dans les règles , en tout cas je l'espère
J'abuse une derniere fois et vous le propose à analyser Merci d'avance
A+
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Le voici

Messagede stheto » 05 Mar 2005, 18:45

Oups
J'ai juste oublié de le coller :oops:
A+
Logfile of HijackThis v1.99.1
Scan saved at 18:37:23, on 05/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\Rar$EX00.256\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] "E:\Kazaa Lite K++\kpp.exe" "E:\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\Nicolas\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spywatch] C:\Program Files\BulletProofSoft.com\SpywareRemover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [FreeGo] C:\Documents and Settings\Nicolas\FreeGo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: MP3 - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &WinMp3Locator - {1537E842-0000-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: Files - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra 'Tools' menuitem: &FileLocator - {1537E842-0001-11D2-8059-111111111111} - D:\UTILITAIRES\LOCATOR.DLL (file missing)
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra 'Tools' menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - D:\Utilitaires\Copernic.exe (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://D:\Utilitaires\Translate.htm (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7790868973
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://ohmytrance.com/tv/nsvplayx_vp3_mp3.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede Jim Rakoto » 05 Mar 2005, 19:34

Salut,

Voilà analyse automatique
http://hijackthis.de/logfiles/eebfdfbca ... 333a1.html

La version XP n'est pas à jour , il faut passer au pack SP1 au minimum.

Il y a une série de lignes à fixer , après avoir désactivé la restauration système.

Elle pourra être réactivée quand le log HJT sera propre.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités