Allez plus loin dans le numérique
76 utilisateurs connectés

A lire avant de poster un scan HiJackThis

Helger le 25 février 2006 à 10h48
Hello.

Edit med365 : Merci d'utiliser désormais la dernière version d'Hijackthis, disponible ICI prenez la version installateur et installez le programme dans l'emplacement par défaut.

A la vue de la profusion des logs d'HiJackThis, veuillez lire ceci :

Dans un premier temps, commencez par aller sur l'Evaluation de votre log créé par HijackThis.
Cela permettra de dégrossir car vous n'imaginez même pas le temps qu'il faut pour analyser un log.
Si des processus sont évidents, d'autres sont loin de l'être du fait des logiciels farfelus pouvant être installés.
Une fois le log analysé par HiJackThis, en cas de doute, on demande.

Et n'oubliez pas qu'avant d'utiliser HiJackThis, il est fortement conseillé (Euh, bon OK, je le conseille.) d'utiliser ces logiciels :

  • Adaware ainsi que ses dernières définitions,
  • A² Free,
  • Microsoft Anti Spyware devenu Microsoft Defender,
  • Spybot ainsi que ses dernières définitions,
  • et un anti-virus.

  • Toutes les analyses sont à effectuer en mode sans échec et en désactivant la restauration système.
    Quand vous avez déjà utilisé ces quatre là, une très grande partie des cochonneries sont dépistées.
    HiJackThis est à utiliser en dernier recours quand les précités ne vous ont pas débarrassé d'un spyware (Ou autre.) quelconque.

    Ensuite, utilisez MsConfig, pour supprimer du démarrage 90% des logiciels qui ne servent à rien au lancement de Windows :
  • les recherches accélérées de Office, OpenOffice et StarOffice,
  • les RealPlayer, QuickTime, Winamp et autre lecteur multimédia,
  • Acrobat Reader,
  • Apache et MySql (Si, si je les ai vus dans un log.),
  • les utilitaires imprimantes (HP et Epson sont des champions pour cela.),
  • les utilitaires Logitech, (Surtout que certains sont de véritables petits espions.),
  • les utilitaires des cartes graphiques,
  • les logiciels de compression,
  • les surcouches des FAI et leurs utilitaires,
  • les messageries instantanées (Comme MSN.),
  • les éditeurs d'images (Souvent fournis avec un appareil photo ou graveur.),
  • les logiciels de gravure et associés (DirectCD et InCd, par exemple.),
  • les "Google tools-barres" et autres,
  • etc, etc, etc, ...
  • ET tout update automatique ! (Hors anti-virus, bien sûr.).

  • Et enfin, effectuez un « Nettoyage de disque », via l'utilitaire du même nom et dans sa totale, supprimez les entrées dans le répertoire "C:\Windows\Prefetsh", et effectuez un nettoyage de la base de registre via RegCleaner, par exemple.
    Le tout toujours en mode sans échec.

    Pour finir, après ce grand nettoyage de printemps, une bonne défragmentation, toujours en mode sans échec.
    Et votre Windows ne s'en portera que mieux.

    A ce moment vous pouvez utiliser HiJackThis pour vérifier ce qui reste.
    ET ATTENTION : exécutez-le sans aucune application ouverte ! (Ne dites pas le contraire. Quand on voit Firefox dans les programmes, ... .).

    Il est clair que les éditeurs veulent faciliter l'utilisation de leurs logiciels via des icônes ou autres programmes en arrière plan. Mais cela est forcément au détriment des ressources systèmes.
    De plus, vous n'utilisez jamais toutes les applications en même temps, inutile qu'elles tournent en arrière plan.
    Et non seulement votre machine démarrera plus vite, mais en plus elle s'arrêtera plus vite.

    Et n'oubliez pas que les anti-virus et autres firewalls ralentissent Windows au démarrage. ;)

    Si cette méthode ne vous convient pas, il reste toujours le moyen de racheter de la mémoire.
    Passez en 16 To, vous serez tranquille.
    Mouhahahahahaha ! :D

    Remarque :
    Noubliez pas ceci : faites preuve de prudence quant à vos habitudes de 'surf'. En effet, c'est en allant sur des sites douteux que l'on attrape des cochonneries, alors soyez prudent, n'allez pas n'importe où, ne téléchargez pas n'importe quoi.

    Par Helger et Rayon. ;)

    [Edit=Helger]Correction des fautes et ré-organisation du topic. :D [/Edit]

    [Edit=BdJ]Maintenant que l'orage est passé, modification du titre et ménage des nombreux messages d'avertissement "à lire avant de poster" pour ne conserver que celui-là[/Edit]

    -->Message édité par med365 le 19/07/2007 11:52:04<--
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    Lepounch le 25 février 2006 à 11h06
    :bravo: ;)
    Rayon le 25 février 2006 à 11h19
    Oula j'ai les chevilles qui enflent là ... je vais aller m'acheter des chaussettes Gibaud !! :D

    -->Message édité par Rayon le 25/02/2006 11:21:09<--
    Helger le 25 février 2006 à 12h10
    Aller 4 de plus !

    :colere: :colere: :colere: :colere: :colere:
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    Rayon le 25 février 2006 à 12h14
    J'ai demandé que ce post soit approuvé et bloqué en haut de page ... mais toujours pas de réponse ...
    Rayon le 25 février 2006 à 12h31
    Ca n'arrête pas :neutre: En plus toujours pas de réponse des modos ...
    Helger le 25 février 2006 à 12h50
    Rayon a écrit :
    J'ai demandé que ce post soit approuvé et bloqué en haut de page ... mais toujours pas de réponse ...
    Il est clair que si le sujet était épinglé, cela faciliterait plus les choses. ;)
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    Lepounch le 25 février 2006 à 13h06
    en attendant, il faut essayer de le maintenir... ;)

    Bonne journée à vous
    -->Message édité par Lepounch le 25/02/2006 13:06:20<--
    les_petits_pois_sont_rouges le 25 février 2006 à 13h51
    j'ai peur que maintenir ce sujet en tete ne suffise pas

    encore un rapport de plus :(
    -------
     
    Helger le 25 février 2006 à 14h52
    les_petits_pois_sont_rouges a écrit :
    j'ai peur que maintenir ce sujet en tete ne suffise pas
    Faut croire que oui.
    Le titre n'est peut être pas explicite.

    Qu'est-ce qui peut plus marquer ?
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    les_petits_pois_sont_rouges le 25 février 2006 à 14h58
    à lire imperativement avant de poster un rapport HIJack sous peine de formatage du Disque :C :bravo:
    -------
     
    Helger le 25 février 2006 à 15h30
    les_petits_pois_sont_rouges a écrit :
    à lire imperativement avant de poster un rapport HIJack sous peine de formatage du Disque :C :bravo:
    :lol: :lol: :lol: :lol: :lol:

    Dommage, il est trop long. :pleure:
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    Rayon le 25 février 2006 à 16h13
    Ouf Je sens que nous avons été entendus ... ;)
    Helger le 25 février 2006 à 16h22
    Merci à Stef de nous avoir entendu.

    Et effectivement, si vous appliquez tout ce qui est épinglé, alors là oui, je vous aiderai sans aucun problème.

    ;)


    -->Message édité par Helger le 02/03/2006 11:08:41<--
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    les_petits_pois_sont_rouges le 25 février 2006 à 16h27
    < inclued picture >


    -------
     
    mleveque le 25 février 2006 à 21h50
    Pour être compris il faudrait faire "clignoter"
    ce topic car si je regarde bien, les forumeurs
    tellement axés sur leur problème non pas vu
    qu'il y avait une nouvelle sous-catégorie pour les
    "hijackthis".
    -->Message édité par mleveque le 25/02/2006 21:53:26<--
    -------
    Mieux vaut vivre 10 ans comme un requin que 20 ans comme une moule.

    Helger le 27 février 2006 à 00h33
    Bonsoir à tous.

    Suite et fin.
    Honnêtement, je n'ai jamais au grand jamais vu autant de logs de HiJackThis sur un forum en deux trois mouvements.
    Terrible.
    Chaque lecteur de l'OI qui a lu ce fameux dossier ("Nettoyer Windows".) et a posé son "truc".
    "Et vas-y mon gars , je pose et tu me dis".

    Le pire, c'est que les lecteurs n'appliquent absolument pas les conseils de cet article. SpySweeper qui tourne lors d'un rapport est un bon exemple. L'allégement via MsConfig, idem.

    Alors, une fois de plus, je me fais l'avocat du diable.
    Lisez ce topic, sans hésiter. Je l'ai pondu (Avec Rayon.) sans connaissance du dossier. Preuve : les logiciels et procédures que je m'entionne ne figurent pas dans celui-ci. Mon seul oubli (Et je m'en suis mordu les doigts, suite à la lecture de ce dossier.) est le répertoire "Prefetch", véritable nid à défragmentation. (Et oui, car l'utilitaire "Nettoyage de disque" a tendance à ne pas le prendre en compte, euh voire pas du tout.).

    J'ai tout vu dans ces logs, des logs plus ou moins farfelus.
    Vous, lecteurs, vous êtes capables de mettre des logs de HiJackThis avec une tartine de logiciels qui démarrent avec Windows et en plus avec des applications qui tournent.
    Comment ? L'OI ne l'a pas dit ?
    Voyons. De un, page 92, il est mentionné le MsConfig. Combien l'ont appliqué avant ?
    De plus, l'OI cite un site pour tester le bien fondé du dit programme au démarrage. (Le site de Pierre qui pour moi est une référence en la matière.). (Non, je ne fais pas de la pub, car lui même ne me connait pas. Je sais ce qu'il est, et cela me suffit. N'empêche que quand, ... , et bien je, ... .).

    Quand je vois Apache, Mysql et Php qui tournent et non seulement qui figurent dans les "Run"de Windows, ... , soupir. (Surtout que quand on commence à toucher ce genre de programmes, normalement... .). Je rajoute la tartine de lecteurs multimédia (QuickTime, Real Player, Itunes, Winamp, ... .), euh, sans rire là, vous n'abusez pas un peu ? Le pire, ce sont les anti-virus en double, un firewall en plus du SP2 (Sans savoir si celui est désactivé.), là cela fait beaucoup. "Comprends pas, ma machine rame".

    Ô, je sais, beaucoup de lecteurs de l'OI découvrent l'informatique. Mais honnêtement, si vous lisez ce dossier dans sa totale et non en biais, alors il ne devrait pas y avoir des logs des 75 lignes !

    Pour info, HiJackThis n'a pas été développé pour uniquement savoir ce qui démarre en même temps que Windows. Ce bougre existe pour le dépistage des spywares, trojans et autres cochonneries qui pourrissent l'utilisateur démarrant avec Windows. De plus, il doit être utilisé en dernier recours sans une application en cours d'exécution. (Quand je vois Firefox ou Outlook ouverts, ... . soupir.).

    Si vous avez un doute sur une quelconque cochonnerie, allez jeter sur le site de Pierre (Si vous avez lu correctement ce dossier de l'OI, vous serez où aller, sinon, je vous massacre !).

    Sur ce, je serais là pour vous aider si jamais vous m'avez signifié que ce post a été lu.

    Amicalement à tous les lecteurs de l'OI.
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    confiance le 27 février 2006 à 03h50
    salut,
    j'ai appliqué toute la procédure indiquée dans les pages 88 à 94 de l'OI n°181.
    J'arrive à l'encart p 94 pour utiliser Hijack This, ai fait analyser mon log par l'automate comme tu l'as indiqué. Mais pour éliminer certaines lignes, faut-il cocher celles-ci avant de cliquer sur le bouton Fix checked ?
    -------
    Tchin bé red, pa molli !
    Helger le 27 février 2006 à 09h40
    Hello.
    confiance a écrit :
    Mais pour éliminer certaines lignes, faut-il cocher celles-ci avant de cliquer sur le bouton Fix checked ?
    Tout à fait. ;)
    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    confiance le 27 février 2006 à 11h44
    salut carnavalesque de guyane,
    merci de vos explications sur ce forum et dans l'OI.
    En 1 dimanche, j'en ai appris un max sur le régime minceur des ordis !
    Je poursuis la méthode méthodiquement et je ne vs ai pas encore pris la tête avec mon log.
    Tchin bé red et poursuivez dans la mutualisation des savoirs !
    -------
    Tchin bé red, pa molli !
    Amen Backup le 18 mars 2006 à 11h15
    OK. En fait, j'ai d'abord posté mon message et ensuite j'ai découvert les recommandations. Que je vais essayer de mettre en oeuvre.
    Peut-être qu'il faudrait que j'annule ma demande en attendant de voir si je peux me débrouiller tout seul ? Mais comment faire ?

    FredPC le 22 mars 2006 à 13h38
    Zut, je viens de poster le mien, quel plouc je fais,...

    Le nez dans le magazine à suivre la procédure je n'ai même pas vu ce poste...

    Honte sur moi pendant 7 génération :-(

    Désolé, je le fera plus ...
    LMC le 24 mars 2006 à 14h11
    Bonjour,
    Je viens de découvrir ces messages. Je viens de les imprimer. Ainsi, je pourrais m'y référer quand cela sera nécessaire. Malheureusement, j'avais déjà envoyé mon log, donc, je vais repartir de zéro avant de revenir.
    Merci pour ces explications qui pourraient être mises plus en évidences. Cela éviterait la profusion de log.
    Encore un grand merci.
    @++
    LMC
    moretain le 26 mars 2006 à 18h43
    bonjour et merci de ces renseignements, mais :

    - quand faut-il revenir en mode normal après analyses et réparations, avant ou après redémarrage de win : jamais fait mode sans échec : problèmes possibles ?

    - de même pour la restauration du système

    - comment peut-on éviter de formater le disque dur avec hijack

    merci
    mesperleuch le 30 mars 2006 à 22h21
    Bonsoir merci pour vos conseils..

    Bon heu je m'avoue.. j'ai vu ce message apres... MAIS heureusement, j'avais tout fait "comme il faut" j'ai des antivirus des anti spyware... etc

    UNe petite erreur.... j'avais quelques "petites choses" d'ouvertes.... Je m'en excuse d'avance

    Je vooudrais juste que lorsque mon pc s'allume... je n'ai pas besoin de reconfigurer A CHAQUE FOIS la qualité de l'image... la définition.. etc... ce chiant

    GROSSES bises et merci encore.. si je peux aider avec mes modestes con-pétences... allez y... on ne sait jamais!!
    Helger le 01 avril 2006 à 00h45
    Bonsoir à tous.

    La preuve de la popularité de l'OI n'est plus à faire. En suivant son conseil, vous êtes venus faire l'analyse de votre log pour améliorer votre "dépoussiérage" de Windows. Vous êtes beaucoup à rester avec un log analysé surtout sur la sécurité.
    Pourtant, il reste beaucoup à faire comme mentionné dans ce post et sur l'article de l'OI. Pour vous aider dans un premier temps, je vais faire l'analyse de eux logs, exempts de virus, trojans ou autres.

    Logfile of HijackThis v1.99.1
    Scan saved at 23:20:30, on 29/03/2006
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNTHREATENGINE.EXE
    C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNPROTECTIONSERVER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
    C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\SUNSERVER.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-908\DSLMON.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
    C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
    C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\QUICKZIP4\QUICKZIP.EXE
    C:\WINDOWS\TEMP\QZTEMP\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F1 - win.ini: run=hpfsched
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [autoclk] autoclk.exe
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\winpatrol.exe
    O4 - HKLM\..\Run: [SunServer] C:\PROGRAM FILES\SUNBELT SOFTWARE\COUNTERSPY\CONSUMER\sunserver.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [kavsvc] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    Si vous observez attentivement ce log, il y a ni plus ni moins que :
  • Office, qui démmare, en trois exemplaires (En fait, les recherches accélérées, et le gestionnaire d'Office.),
  • (O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE),
  • MSN Messenger (O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background),
  • les trois lecteurs Média que sont QuickTime, RealPlayer et Winnamp.
  • (O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe).
    Et un petit bémol sur : O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab.
    Je n'ai jamais été pour l'analyse en ligne, tout simplement parce que on est en ligne. Si une cochonnerie arrive sur votre PC, et que celle ci a eu le malheur (Pour vous.) de se loger dans la restauration système, vous ne pourrez rien faire, sinon rédémarrer en mode sans échec, en désactivant la restauration système et effectuer vos analyses.

    Suivant :
    bonsoir, voici le contenu du bloc note... et mreci d'avance au génie sans visage qui effectuera ce liefting...


    Logfile of HijackThis v1.99.1
    Scan saved at 22:13:29, on 30/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Winamp\Winampa.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
    C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\GWENDO~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/news?ned=fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://divx.ctw.cc/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\GWENDO~1\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.03.0000.1005\fr\msnappau.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
    O4 - HKCU\..\Run: [neufbox_reminder] "C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe" -r
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab
    O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register6.valueactive.com/fr_501/webolr/OCX/FlashAX.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1F1B2124-F23F-438D-80B3-B88D01581942}: NameServer = 86.64.145.145 84.103.237.145
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1F1B2124-F23F-438D-80B3-B88D01581942}: NameServer = 86.64.145.145 84.103.237.145
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

    C'est celui de "mesperleuch" qui a répondu à ce post.
    Normal qu'il subisse (Le post, hein, pas la demoiselle.) mon analyse face à ma signification dûe mon dernier post.

  • Néro qui revient régulièrment :(O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  • O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe). Deux fois ? Pas normal, un coup de trop. Et si on analyse de plus près, à quoi sert-il ? Ni plus ni moins pour éviter un conflit avec un autre logiciel de gravure. A part celui de XP et, à moins d'installer un autre logiciel de gravure, vois pas à quoi il sert.
  • A nouveau MSN et en plus Windows Messenger,
  • (O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe")
    Windows Messenger et MSN Messenger. Deux d'un coup qui font du mal au démarrage de Windows. Inutile dans les deux cas.
  • Deux FAI mentoinnés, manque une désintallation complète,
  • :O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab
  • Les imprimantes (dans ce cas Epson.)
  • (O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"). Si vous voulez les boui-boui de vos imprimantes, pourquoi as, amsi si vous désactivez ces utilitaires, cela N'empêchera pas de faire foncitonner l'imprimante, bien au contraire.
  • Incrédimail et son installation,
  • (O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\GWENDO~1\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
    C:\DOCUME~1\GWENDO~1\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail).
    Ben, une fois qu'il est installé, plus besoin de ceci.
  • A nouveau Winnamp, (O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"). Décidément.
  • Office,
  • (O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE), comme mentionné précédemment.

    Voilà, vite fait ce que j'ai pu analyser de ces logs.
    En sachant que CounterSpy et Ccleaner sont complètement inutiles au démarrage de Windows. Soit, pourquoi pas, mais comme mentionné précédemment, Windows démarrera plus lentement avec un anti-virus, un anti-spyware et un analyseur de base de registre résidant. Après, à vous de voir suivant la paranoïa que vous exprimez et la quantité de mémoire dont vous diposez.

    Pour finir, si vous avez un doute sur un "proccess", jetez un oeil sur le site de Pierre, comme mentioné sur l'article.
    sinon, jute une petite rechercher sur Google et vous trouverez le "process" en question.

    N.B. : Petit conseil : si vous avez un doute sur un "proccess" et que vous voulez le fixer via Hijackthis, renommez le fichier en référence en *.old. Si Windows démarre sans souci et que part la suite, il ne semble pas manquant, c'est que.

    Si souci, amicalement, Helger, pour tous les lecteurs de l'OI. ;)


    -------
    Hypocrite lecteur, mon semblable, mon frère
    Nous avons dit souvent d'impérissables choses

    Une suite de petites volontés fait un gros résultat

    [:fbc:4][:fbc:5][:fbc:6][:fbc:7]
    issi le 26 mai 2007 à 00h39
    bonsoir,
    Etant novice en hijackthis, et ayant des virus voire trojans dans mon pc (euh, d'après mon antivirus AVK (ad-aware, spybot n'ont rien trouvé) ensuite j'ai lu dans votre forum qu'il fallait faire scanner en ligne par ewido_micro qui d'ailleurs a désactivé mon antivirus AVK en enlevant trois backdoor.hugipon que j'ai demandé par ignorance. Le trojan initialement identifié : not-a-virus : Risk Tool win 32.close App.a (moteur Kav).
    Svp, qq pourrait-il m'aider à déchiffrer cette page scan de hijackthis ? je viens de commencer à lire le tutoriel hijackthis ce soir et aurai besoin urgent de protéger mon pc. Merci à celui qui m'aidera.
    (ps : j'ai un message de hijackthis m'avertissant d'une erreur avant de scanner)

    <log hijackthis>

    un autre détail : depuis qq semaines, pendant que je surfais, j'avais souvent des bizarrerie style avoir un texte à la place de la page de mon moteur de recherche google et un soir j'ai même eu un mot "coucou en .php" affiché à mon écran ! il fallait à chq fois redémarrer pour refaire marcher firefox et le moteur de recherche. J'ai commencé à déchiffrer les codes en me basant sur le tutoriel et je pense que j'ai attrapé qq chose !
    merci d'avance,
    issi

    EDIT Med365 : Post remis pour qu'il serve d'exemple comme quoi il ne faut PAS poster de logs ici :o
    -->Message édité par med365 le 13/06/2007 20:41:50<--
    wildbof le 26 mai 2007 à 06h07

    bonjour,
    ce n'est pas le bon endroit pour mettre ton scan, ici c'est juste le topic où l'on explique ce qu'il faut faire
    donc tu restes dans la catégorie où tu es (sécurite - hijackthis - ça c'est tout bon !) mais tu vas cliquer sur nouveau sujet en haut à droite, et tu vas créer ton propre topic où tu pourras faire un copier coller de tout ce que tu as dit ici même (et oui, si tout le monde poste au même endroit, on va avoir du mal à s'y retrouver, non ?°

    autre chose, tu as fait ton scan avec hijackthis au mauvais endroit sur ton pc

    issi a écrit :
    .....
    D:\Telecharger\hijackthis\HijackThis.exe
    ........


    il faut que tu mettes HJT directement à la racine du C:, pas ailleurs !!!

    et enfin, quand tu veux ajouter qlq chose à un post, pas la peine d'en créer un autre, il te suffit de cliquer sur le bouton éditer [:Rayon:6] pour pouvoir modifier ce que tu as écrit ;)


    :salut:
    -------
    "la confiance, c'est la liberté accordée pour faire des bêtises" Join WCG
    "Contrairement à l'intelligence, la connerie n'a pas de limite"
    "Un ami, c'est quelqu'un qui vous connaît bien et qui vous aime quand même"
    Certaines personnes portent un pyjama Superman. Superman porte un pyjama Chuck Norris
    [:Ordinateur-Individuel:1][:Ordinateur-Individuel:2][:Ordinateur-Individuel:3][:Ordinateur-Individuel:4]

    Le site des Rapaces de Reims RHR

    Le nouveau forum du RHR
    med365 le 11 juin 2007 à 21h42
    Suppression des logs postés ici pour plus de lisibilité, ça allongeait énormément le topic...
    -->Message édité par med365 le 11/06/2007 21:44:11<--


    AIDE DU FORUM

    FORUMS THÉMATIQUES

    FORUMS GÉNÉRAUX

    publicité
    > Logiciel : F-Secure
    Internet Security 2010
    Profitez de notre offre promotionnelle de - 20 %!

    Service 01net
    Newsletters 01net
    abonnez vous gratuitement !
      
    01Informatique
    01 INFORMATIQUE
    L'hebdo de référence des décideurs informatiques.
    Micro Hebdo
    MICRO HEBDO
    L'hebdo qui vous simplifie la micro
    et Internet.
    L'Ordinateur Individuel
    L'ORDINATEUR INDIVIDUEL
    Le mensuel informatique qui vous informe et vous conseille.
    Nous contacter  |  Charte de confiance  |  Voir notice légale

    01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
    Tous droits réservés © 1999 - 2009 Internext - 01net.