"Demande d'analyse d'un log HijackThis" par avance

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

"Demande d'analyse d'un log HijackThis" par avance

Messagede xavier » 18 Juil 2004, 19:52

Bonjour à toutes et tous,
Depuis quelques temps, j'étais embete par le fameux "About:blank" (que je n'avais toujous pas résolu) et depuis hier, une fenetre (non desirée) s'est ouverte et me voila avec ma page de démarrage internet contrainte à "res://ipbjl.dll/index.html#96676".
Spybot me dit que tout va bien et Ad-aware me signale "COOLWEBSEARCH obj[0]=Fichier : d:\winnt\ipbjl.dll".
J'ai fait pas mal de manip conseillees sur "http://assiste.com.free.fr/p/frameset/06_37.php" mais rien n'y fait
Quelqu'un pourrait il m'aidé svp?

Voici le fichier d'analyse du log HijackThis :

Logfile of HijackThis v1.97.7
Scan saved at 20:33:46, on 18/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\CTSvcCDA.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Network Associates\Common Framework\FrameworkService.exe
D:\Program Files\Network Associates\VirusScan\Mcshield.exe
D:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
D:\Program Files\Norton Utilities\NPROTECT.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\Program Files\Norton Speed Disk\nopdb.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\sdkkc32.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\dslagent.exe
D:\Program Files\Wanadoo\taskbaricon.exe
D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Program Files\Creative\ShareDLL\CtNotify.exe
D:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
D:\Program Files\Creative\ShareDLL\MediaDet.Exe
D:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\PROGRA~1\FICHIE~1\ADAPTE~1\CreateCD\CREATE~1.EXE
D:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\WINNT\sysjs.exe
D:\Program Files\WindUpdates\WinUpdt.exe
D:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
D:\Program Files\WindUpdates\WinKA.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
D:\Program Files\MediaKey\Versato.exe
D:\WINNT\system32\rundll32.exe
D:\Program Files\MediaKey\OSD.EXE
D:\Program Files\Wanadoo\EspaceWanadoo.exe
D:\Program Files\Wanadoo\ComComp.exe
D:\Program Files\Wanadoo\Watch.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Donnees\logiciels\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\ipbjl.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ipbjl.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ipbjl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\ipbjl.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ipbjl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINNT\ipbjl.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B2E426D-F349-15B7-A0E7-248252758AF1} - D:\WINNT\system32\iehr.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [CloneCDTray] D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] D:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShStatEXE] "D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CreateCD50] D:\PROGRA~1\FICHIE~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\Run: [EPSON Stylus CX6400] D:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [sysjs.exe] D:\WINNT\sysjs.exe
O4 - HKLM\..\Run: [WindUpdates] D:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Startup: Norton System Doctor.lnk = D:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: EPSON CardMonitor.lnk = D:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O4 - Global Startup: MediaKey.lnk = D:\Program Files\MediaKey\Versato.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt2_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... p=49e422e7 X 968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc X 37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B2F5BE-6537-42C4-8203-C4183300424C}: NameServer = 80.10.246.130 80.10.246.3

par avance
Merci
Xavier

[Adresse interminable découpée, pour améliorer l'affichage - Vazkor]
xavier
 
Messages: 4
Inscription: 18 Juil 2004, 19:36
Localisation: Bordeaux

Messagede bay » 18 Juil 2004, 20:38

Bonsoir, à mon avis ta version de Spybot , n'est plus à jour ( quelle est ta version) , pour le problème de Collwesearch , tu peux utiliser Cwshredder .http://assiste.com.free.fr/p/frameset/07_cwshredder.php :wink:
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede xavier » 18 Juil 2004, 20:47

merci pour ta réponse rapide, ma version de Spybot est la v1.3
xavier
xavier
 
Messages: 4
Inscription: 18 Juil 2004, 19:36
Localisation: Bordeaux

Messagede bay » 18 Juil 2004, 21:39

Bonsoir , un solution possible à ton problème sur ce site !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede xavier » 18 Juil 2004, 22:04

je vais voir ca merci
Xavier
xavier
 
Messages: 4
Inscription: 18 Juil 2004, 19:36
Localisation: Bordeaux

Messagede Vazkor » 19 Juil 2004, 00:11

Bonjour Xavier,

Voici le fichier d'analyse du log HijackThis :

Logfile of HijackThis v1.97.7 Il existe une version 1.98. Mettre à jour
Scan saved at 20:33:46, on 18/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) Ton IE6 N'est PAS à jour! Tu t'étonnes de choper n'importe quoi?

Running processes:
...
D:\Program Files\Network Associates\Common Framework\FrameworkService.exe Y a-t'il un pare-feu dans tout cela?
D:\Program Files\Network Associates\VirusScan\Mcshield.exe
D:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
...
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe Beurk! Un mouchard inutile
D:\Program Files\QuickTime\qttask.exe Inutile
...
D:\WINNT\sysjs.exe >>>>>>>>>>>>>>> J'ai tout de suite suspecté ce truc!
...
D:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe Inutile
D:\Program Files\WindUpdates\WinKA.exe C'est quoi ce truc?
...
D:\Program Files\Internet Explorer\iexplore.exe Il est urgent d'installer IE6SP1 et tous les correctifs ultérieurs de IE
...

Fixer tout ce que j'ai mis entièrement en gras. Lire mes remarques en fin de lignes et SURTOUT mettre IE à jour!!!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\ipbjl.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ipbjl.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ipbjl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\ipbjl.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ipbjl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINNT\ipbjl.dll/sp.html#96676

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B2E426D-F349-15B7-A0E7-248252758AF1} - D:\WINNT\system32\iehr.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [CloneCDTray] D:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] D:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShStatEXE] "D:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Program Files\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CreateCD50] D:\PROGRA~1\FICHIE~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\Run: [EPSON Stylus CX6400] D:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [sysjs.exe] D:\WINNT\sysjs.exe INCONNU sur Google et un air de déjà vu pour moi!Le coupable
O4 - HKLM\..\Run: [WindUpdates] D:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Startup: Norton System Doctor.lnk = D:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: EPSON CardMonitor.lnk = D:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O4 - Global Startup: MediaKey.lnk = D:\Program Files\MediaKey\Versato.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt2_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potc_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 49e422e7...
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab


C'est quoi tous ces jeux venant de Yahoo? >> Mines! Danger!!!

O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B2F5BE-6537-42C4-8203-C4183300424C}: NameServer = 80.10.246.130 80.10.246.3

Installer d'urgence un navigateur sécurisé. Utiliser Mozilla 1.7.1 au lieu d'un IE mité jusqu'à la moëlle.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede xavier » 19 Juil 2004, 08:59

Merci Vazkor,
je vais regarder tout ca ce soir
@+
Xavier
xavier
 
Messages: 4
Inscription: 18 Juil 2004, 19:36
Localisation: Bordeaux


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités