> Tous les forums > Forum Sécurité
 Nouvelle analyse HijackThis
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
jordan.c
  Posté le 18/08/2004 @ 21:29 
Aller en bas de la page 
Petit astucien
Bonsoir à tous Tout d'abord je voudrais remercier tous ceux qui m'ont aidé lors de mon premier Hijackthis. J'ai donc suivi ce que vous m'avez conseillé de supprimer et voici mon nouveau scan. Logfile of HijackThis v1.98.2 Scan saved at 21:18:45, on 18/08/04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\MOUSE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\ESM2\STMS.EXE C:\ESM2\EBRR.EXE C:\OPLIMIT\OCRAWARE.EXE C:\OPLIMIT\OCRAWR32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.caramail.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens N1 - Netscape 4: user_pref("browser.startup.homepage", "france.rub.to"); (C:\Program Files\Netscape\Users\default\prefs.js) N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\fqa3x47m.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE%5Csearchplugins%5CNetscape_France.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\fqa3x47m.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [EM_EXEC] C:\MOUSE\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2\STMS.exe O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: CaraMail Messenger.lnk = C:\Program Files\styexe.exe O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mpl: C:\PROGRAM FILES\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppmin32.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab J'espère que je n'ai rien oublié. Lors de mon premier Hijackthis, j'ai fixé les lignes suivantes : O4 - HKLM\..\Run: [CMD] cmd32.exe O4 - HKLM\..\RunServices: [CMD] cmd32.exe mais lorsque je lance mon Regedit, je trouve encore des "cmd.exe" un peu partout dans mes clés de registres. Dois-je aussi les supprimer ? Merci de bien vouloir encore m'aider. Passez une bonne soirée. +
Publicité
Ayora
 Posté le 18/08/2004 à 21:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonsoir jordan.c, Ton log a l'air propre. Voilà plus de détails sur les entrées de registre crées par ton virus : http://www.viruslibrary.com/virusinfo/Worm.P2P.Tanked.htm Il ne rajoute pas que des entrées CMD (d'ailleurs c'es RUN CMD et pas cmd.exe). J'ai fait une recherche dans mon registre (je suis moi aussi sous windows 98 SE avec IE SP1): aucun cmd.exe donc tu dois pouvoir virer ces entrées de registre a priori. Pourquoi ne nettoies-tu pas avec un utilitaire comme JV 16 Powertools qui permet d'éliminer sans risque les clés invalides (affichées en vert après recherche) http://www.infos-du-net.com/news/article-605.html Bon nettoyage [smile]

Modifié par Ayora le 18/08/2004 21:58
ipl_001
 Posté le 18/08/2004 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir jordan.c, Ayora, bonsoir à tous, Rien d'infectieux dans ton rapport. N'oublie pas que les ressources de Win98 sont précieuses... je trouve que tu as beaucoup de lignes 04 et je crois que tu devrais essayer d'alléger le démarrage. Combien te reste-t-il de ressources dès le démarrage de Windows (Démarrer/Exécuter/tape RSRCMTR puis clique sur OK et passe la souris sur la nouvelle icône de la zone de notification) ? Pour enlever des processus au démarrage : - effectue une recherche sur chacun grâce à Google ou à la Startup List de Pacman http://www.sysinfo.org/startuplist.php dont voici la légende : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu. - utilise MSconfig pour décocher les éléments non indispensables afin de les tester (pour les remettre, tu reviens dans MSconfig et tu recoches).

Modifié par ipl_001 le 18/08/2004 23:05
did71
 Posté le 19/08/2004 à 00:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonsoir ipl_001, Ayora, jordan.c quel est ton problème? ton log est correct pour moi. explique si tu rencontre un prob. a+
ipl_001
 Posté le 19/08/2004 à 00:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir did71,
did71 a écrit :
bonsoir ipl_001, Ayora, jordan.c quel est ton problème? ton log est correct pour moi. explique si tu rencontre un prob. a+
Moi, je comprends que jordan.c a appliqué les directives et propose le nouveau rapport à titre de vérification !
ipl_001
 Posté le 19/08/2004 à 00:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Rebonsoir jordan.c, J'avais oublié un point important ! LOL Comme je l'écrivais pour allison ( https://forum.pcastuces.com/sujet.asp?SUJET_ID=95731 ) :
Maintenant que ton système est en bon état, il faut qu'il le reste ! LOL Je veux te dire que tu dois maintenant apprendre à bien te protéger : - Windows Update parfaitement à jour (j'ai pris, moi, l'option de mise à jour automatique journalière ; il faut savoir que l'automatisme ne fonctionne que pour la catégorie critique, Services Pack et Services Release et qu'il ne fonctionne pas s'il y a besoin de redémarrer) - pare-feu bien paramétré - antivirus bien paramétré et mis à jour quotidiennement avec un scan complet journalier - une attitude prudente vis à vis de la navigation (ne va pas sur les sites douteux) et vis à vis de la messagerie (n'ouvre pas les fichiers joints aux messages sans les avoir scanné) - une attitude vigilante (sois à l'affut de fonctionnements inhabituels de ton système) - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) - scan hebdomadaire antispyware. Voici ce qu'il faudrait faire -> http://gerard.melone.free.fr/IT/IT-AM0.html


Modifié par ipl_001 le 19/08/2004 00:37
jordan.c
 Posté le 19/08/2004 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonjour, Vous savez que vous êtes cool ? Merci à vous trois pour votre aide précieuse. ipl_001 : "N'oublie pas que les ressources de Win98 sont précieuses... je trouve que tu as beaucoup de lignes 04 et je crois que tu devrais essayer d'alléger le démarrage. Combien te reste-t-il de ressources dès le démarrage de Windows ?" J'ai donc fait le test et effectivement, ma mémoire est souvent insuffisante. Au démarrage de Windows, j'obtiens : Système 70% , Utilisateur 70%, GDI 84%. Et encore ces chiffres chûtent très vite lorsque j'ouvre un programme ou un fichier. Pour les 04, j'ai regardé sur la Pacman Startuplist et j'avoue ne pas savoir quoi enlever. Entre mes deux firewall (sygate et zonealarm) mon msn, l'horloge, le scandisk, etc.... je vais essayer de voir effectivement avec msnconfig. Petite anecdote, je pense abandonner McAfee, Zone Alarme et Sygate pour Kerio et Avast, en espérant avoir fait de meilleurs choix. Ayora Avec tes conseils, j'ai donc viré les clés de mon registre comportant le programme CMD. Toutefois, je ne pense pas avoir été infecté par le virus "P2P.Tanked.Virus" mais par celui de "W32.Kwbot.C.Worm" (découvert la semaine dernière lors d'un scan de Norton et évidemment supprimer ). J'ai aussi téléarchargé "jv 16 Powertools" et effectivement, il y avait du ménage à faire. Près de 2000 fichiers inutiles et à effacer. Merci à toi pour cette astuce ! Did71 Comme l'a dit ipl_001, c'était pour une simple vérification. Mais je te remercie d'avoir cherché à m'aider. :) Voilà, par rapport à ce scan, j'aurai une dernière question. C'est au sujet de deux lignes: C:\ESM2\EBRR.EXE HKCU\..\Run: [ctfmon.exe] ctfmon.exe J'hésite à les fixer, surtout la dernière. En effet la Pacman Startuplist m'indique que ce programme peut être en rapport avec CoolWebSearch, trojan qui a également infecté mon pc la semaine dernière et que j'ai enlevé grâce à CWshredder. Pensez vous que je dois le supprimer ? Bonne fin d'après midi à tous +
bay
 Posté le 19/08/2004 à 19:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
Bonsoir , deux firewall
Entre mes deux firewall (sygate et zonealarm)
, c'est pas necessaire et même deconseillé ! Kerio en version 2.1.5 est nettement moins gourmand que ZA !
did71
 Posté le 19/08/2004 à 21:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonsoir, EBRR.EXE : c'est le driver bidirectionnel d'imprimante Epson. Dossier ESM pour Epson Status Monitor. ctfmon.exe est normal c est ctfmon32.exe qui est une saleté donc tu peux conserver EBRR.EXE et ctfmon.exe. a+
Publicité
ipl_001
 Posté le 19/08/2004 à 21:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir jordan.c, bonsoir à tous,
Au démarrage de Windows, j'obtiens : Système 70% , Utilisateur 70%, GDI 84%
C'est trop peu ! Fais le ménage dans tous tes modules au démarrage de Windows ! Comme discuté ci-dessus, un seul firewall ! Si tu prends Avast à la place de NAV, tu économiseras des sous, tu gagneras en ressources et certains te diront que tu gagneras aussi en efficacité ! Vire tous les trucs inutiles ! Tu dois obtenir comme moi (Windows98SE, ZA, AVG, etc. 86 % 86 % 97 %)

Modifié par ipl_001 le 22/08/2004 00:35
jordan.c
 Posté le 21/08/2004 à 01:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Petite rectification, Ayora, tu avais finalement raison. J'ai installé la version démo de Kaspersky et lorsque je l'ai lancé, le rapport m'a informé que j'avais des fichiers infectés par le virus p2p.Tanked.14. J'ai donc réparé et même supprimé ces fichiers. D'ailleurs, que dois-je faire de ces nombreux fichiers réparés dans mon dossier Quarantaine ? Je ne suis plus trop à quoi ils correspondent. En tout cas, cet antivirus est vraiment efficace, je pense l'acheter et oublier Avast. Kaspersky m'a trouvé des virus que ni l'antivirus en ligne de Secuser, ni Norton, ni McAfee, n'avaient détecté. J'en ai profité pour installer le pare feu KAV Anti Hacker puisque Zone Alarme prend fin dans 3 jours. Bonne nuit à tous +
ipl_001
 Posté le 22/08/2004 à 00:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir jordan.c,
jordan.c a écrit :... puisque Zone Alarme prend fin dans 3 jours...
??? que veux-tu dire ? Zone Alarm a une version gratuite ! fin dans 3 jours ???
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
659,99 €PC portable Asus VivoBook (FullHD IPS, Ryzen 5, 8 Go RAM, SSD 512G0, Vega 7) + sac à dos à 659,99 €
Valable jusqu'au 08 Mai

Cdiscount fait une très belle promotion sur le PC portable Asus 14 pouces R415UA-EB035T qui passe à 659,99 € au lieu de 750 €. Cet ultra portable léger (1,6 kg) possède un écran 14 pouces FullHD (1920x1080) IPS mat aux bordures affinées, un processeur AMD Ryzen 5 5500U, 8 Go de RAM, un processeur graphique AMD Radeon RX Vega 7 et un SSD NVMe de 512 Go. Le tout tourne sous Windows 10. Webcam, WiFi, USB 3.2, USB Type C, Ethernet Gigabit et Bluetooth sont de la partie. Notez que le clavier est rétroéclairé et que le pad peut se transformer en pavé numérique. Le tout tourne sous Windows 10. Un sac à dos est également fourni. Une bonne affaire.


> Voir l'offre
29,99 €Ensemble clavier + souris sans fil Logitech MK270 à 29,99 €
Valable jusqu'au 08 Mai

Amazon fait une promotion sur l'ensemble clavier + souris sans fil Logitech MK270 qui passe à 29,99 € alors qu'on le trouve habituellement autour de 35 €. Cet ensemble est composé d'un clavier sans fil Logitech avec des touches silencieuses et d'une souris sans fil adaptée à la forme de la main qui convient aux droitiers comme aux gauchers. Un seul récepteur USB vous permettra d'utiliser ces 2 périphériques sans fil. La livraison est gratuite.


> Voir l'offre
28,10 €Clé USB 3.1 SanDisk Extreme Go 128 Go à 28,10 €
Valable jusqu'au 08 Mai

Le vendeur sérieux QUMOX sur Rakuten fait une promotion sur la clé USB 3.1 Sandisk Extreme Go 128 Go qui passe à 28,10 € livrée. On la trouve ailleurs à partir de 40 €. Cette clé USB 3.1 (compatible usb 3.0) est rapide puisqu'elle offre des débits jusqu'à 200 Mo/s en lecture et 150 Mo/s en écriture. Pratique, son connecteur rétractable vous évitera d'avoir à manipuler (et perdre ?) un bouchon. 

Notez que si vous n'avez jamais commandé sur Rakuten, cette offre de parrainage vous permettra de déduire 10 € de votre commande (à partir de 20 € d'achat). La clé USB vous reviendra ainsi à 18,10 € !


> Voir l'offre

Sujets relatifs
nouvelle analyse HIJACKThis (comme promis)
analyse hijackthis svp
analyse rapport hijackthis
analyse hijackthis
Demande analyse HijackThis
Analyse Hijackthis
Demande d'analyse hijackthis
gros soucis de bande passante : analyse hijackthis
Aide analyse HiJackThis
demande d'analyse hijackthis
Plus de sujets relatifs à Nouvelle analyse HijackThis
 > Tous les forums > Forum Sécurité