> Tous les forums > Forum Sécurité
 aide pour analyse log hijackthis
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
plus qu_imparfait
  Posté le 19/03/2005 @ 00:28 
Aller en bas de la page 

Salut, et merci d'avance pour votre aide, ce log est tout vérolé; pouvez vous me confirmer que les lignes engras sont a supprimer et me dire si j'en oublie. Merci Logfile of HijackThis v1.99.1 Scan saved at 00:06:19, on 19/03/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\ltmoh\Ltmoh.exe C:\Program Files\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\PowerKey.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Program Files\Launch Manager\Wbutton.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe D:\Utilitaires\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NTI3OTAwNzc5&ver=2.1.0.0 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1 O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Publicité
Chercheur
 Posté le 19/03/2005 à 00:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour, Je démarre une analyse, réponse à suivre. A première vue, plusieurs des lignes que tu cites sont légitimes.
Chercheur
 Posté le 19/03/2005 à 01:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re, AGRSMMSG.exe --->IBM AMR modem driver Ltmoh.exe ---> Modem On Hold utility SOUNDMAN.EXE ---> System Tray icon for the Realtek AC97 Audio Sound Manager for AC97 onboard audio 1 Termine les processus suivants Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus BO1HEL~1.EXE 2 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NTI3OTAwNzc5&ver=2.1.0.0 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1 O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 3 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\Windows\RUNXMLPL.exe 5Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 6 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Modifié par Chercheur le 19/03/2005 01:19
plus qu_imparfait
 Posté le 19/03/2005 à 13:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Cool chercheur, merci de t'être donné la peine de chercher. Voici le log après nettoyage. Logfile of HijackThis v1.99.1 Scan saved at 13:52:24, on 19/03/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\ltmoh\Ltmoh.exe C:\Program Files\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\PowerKey.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\OSDCtrl.exe C:\Program Files\Launch Manager\Wbutton.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\wuauclt.exe D:\Utilitaires\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Comment faites vous pour savoir quels sont les elements legitimes? Merci encore à +
Chercheur
 Posté le 19/03/2005 à 14:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour, Ton rapport est devenu propre. Pour connaitre les lignes et essayer de comprendre l'analyse d'HijackThis, va voir le tutorial d'ipl_001 https://forum.pcastuces.com/sujet.asp?SUJET_ID=158663 Mais tu as été infecté, il faut apprendre à mieux se protèger. Protection minimale : - système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases ( http://windowsupdate.microsoft.com/ ) - pare-feu bien paramétré - antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut - antitroyen gratuit passé périodiquement, par exemple A² en le téléchargeant http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour - antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 http://www.lavasoftusa.com/default.shtml.fr et Spybot Search and Destroy 1.3 http://www.safer-networking.org/fr/home/index.html - comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) - attitude vigilante quant aux dysfonctionnements de ton système. - maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) (tous ces programmes parfaitement mis à jour avant chaque utilisation). Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html Fais passer le message sur la prévention autour de toi [clindoeil]

Modifié par Chercheur le 19/03/2005 15:00
plus qu_imparfait
 Posté le 19/03/2005 à 19:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Merci, avec tout ça je vais progresser.. Bye
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
5,99 €Opération Le Printemps des comics 2021 : sélection de comics à 5,99 €
Valable jusqu'au 16 Mai

Amazon participe à l'opération Le Printemps des comics 2021 où une sélection de comics vous est proposée à 5,99 €. Vous trouverez Venom, Spiderman, Haweye, Thanos, Thor, Hulk, Daredevil, Wolverine, ...


> Voir l'offre
138,99 €Bureau Trust Dominus 116x75 cm (gestion des câbles, support casque) à 138,99 €
Valable jusqu'au 20 Mai

Amazon fait une promotion sur le bureau Trust 116x75 cm à 138,99 € au lieu de 179,99 €. Ce bureau possède un revêtement de finition en PU haut de gamme, un plateau en PVC robuste soutenu par un cadre en acier solide. Bord avant ergonomique et incliné pour un positionnement confortable des poignets et des avant-bras. Les pieds sont réglables en hauteur. Le bureau est fourni avec un support de gestion des câbles, des passe-câbles, un porte-gobelet, un crochet pour le support des écouteurs et des pieds réglables. 


> Voir l'offre
239,99 €Volant Logitech G920 Driving Force + levier de vitesse pour PC, Xbox One à 239,99 €
Valable jusqu'au 16 Mai

Cdiscount fait une belle promotion sur un ensemble comprenant le célèbre volant Logitech G920 Driver Force avec son pédalier ainsi que le levier de vitesse Driving Force qui passe à 239,99 € alors qu'on le trouve ailleurs à part de 285 €. 


> Voir l'offre

Sujets relatifs
Souhaite aide pour analyse rapport hijackthis
Aide pour analyse HijackThis
Aide pour analyse Hijackthis
Aide pour une analyse de rapport HijackThis
Aide pour analyse log HijackThis!
Aide pour analyse rapport HijackThis
un peu d'aide pour une analyse hijackthis
besoin d'aide pour analyse hijackthis
demande d'aide pour analyse HIJACKTHIS
Aide pour une analyse HIJACKTHIS
Besoin de votre aide pour analyse par Hijackthis
Plus de sujets relatifs à aide pour analyse log hijackthis
 > Tous les forums > Forum Sécurité