Forum Micro-Astuce
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.



 
AccueilAccueil  PortailPortail  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  Connexion  
Le deal à ne pas rater :
Jeux, jouets et Lego : le deuxième à -50% (large sélection)
Voir le deal

Forum Micro-Astuce :: Virus et sécurité :: Virus et sécurité
 

 Scan hijackthis

Aller en bas 
2 participants
AuteurMessage
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 11:20
Bonjour,

Voilà un scan qui me paraît bon.
Sauf le fait d'avoir 2 antivirus sur le même PC, je ne vois rien d'autre..(surtout que Mcafee n'y est plus)

Logfile of HijackThis v1.99.1
Scan saved at 11:14:22, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SpyBlocker Software\spyblocker.exe
C:\WINDOWS\System32\GSICON.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\FREDO\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe
O4 - HKLM\..\RunServices: [Microsoft Update] timltzff.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvse.exe
O4 - HKCU\..\Run: [start extracting] spoolvse.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvse.exe
O4 - Startup: Raccourci vers AvpM.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ca peut être :

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ca sert à rien, mais je ne crois que ça nuise outre mesure.

Votre avis ?

Merci
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 12:30
Salut Renard

Code:
O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe

Voir ICI et ICI.
Il faut combler les failles de sécurité exploitées par Rbot avant de commencer la désinfection.

Code:
O4 - HKLM\..\RunServices: [Microsoft Update] timltzff.exe
timltzff.exe est inconnu de google. Si c'était un process appartenant à Windows Update, Google le saurait ==> hautement suspect.

Code:
O4 - HKCU\..\Run: [start extracting] spoolvse.exe

Voir ICI et ICI.

Donc si on récapépéte:
Arrow Windows Update pour combler les failles de sécurité utilisées par Rbot

Arrow Relancer HijackThis et cocher:
O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe
O4 - HKLM\..\RunServices: [Microsoft Update] timltzff.exe
O4 - HKLM\..\RunServices: [start extracting] spoolvse.exe
O4 - HKCU\..\Run: [start extracting] spoolvse.exe
O4 - HKCU\..\RunServices: [start extracting] spoolvse.exe
Cliquer sur Fix Checked et confirmer les changements.

Arrow Faire un scan antivirus en ligne chez Panda (Pour supprimer les fichiers vérolés).

Arrow Relancer l'ordi et nouveau log HJT + Rapport Panda.




Hello
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 14:24
Je m'y mets, je te dis ça.
C'est bon
Revenir en haut Aller en bas
http://clicenter.free.fr
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 14:41
Bon,

Maj de sa version d'XP ça va être dur. Je me moque un peu

Par contre j'ai mis son disque dur en esclave sur le mien et Panda est au boulot.
Il a déjà trouvé et viré quelques trucs.

Je ne peux pas (enfin si mais il faut mettre ma connexion sur son PC) faire un scan en ligne, il est chez Club-Internet et moi Wanadoo.
C'est plus rapide pour moi de mettre son DD sur le mien.

Je te tiens au courant.
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:07
Pour mes MAJ Windows, si tu ne peux pas faire de WU, applique les 2 données par Sophos et ça suffira pour prévenir une réinfection.
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:12
Quelle que soit la façon dont tu décides de déinfecter, poste quand même un nouveau log HijackThis aprés désinfection et redémarrage.
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:31
Panda a trouvé ça :

Scan hijackthis Panda7yn.th

Je réinstalle le disque dur sur l'autre PC et je crois que les virus dans Kaspersky doivent être ds la quarentaine.
Revenir en haut Aller en bas
http://clicenter.free.fr
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:45
Voilà :

Logfile of HijackThis v1.99.1
Scan saved at 15:45:48, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SpyBlocker Software\spyblocker.exe
C:\WINDOWS\System32\GSICON.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
C:\Documents and Settings\FREDO\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - Startup: Raccourci vers AvpM.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Je vais nettoyer le registre maintenant.

A+ Hello
Revenir en haut Aller en bas
http://clicenter.free.fr
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:48
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

Je vais virer ça aussi.
On lui a rien demandé à celui là !

Nomé !
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 15:55
Les 6 premiers sont des cookies de Mozilla donc Firefox ==> virer les cookies de FF.

EICAR ==> un virus de démo Scan hijackthis Invision-Board-France-81 Il doit trainer dans PestPatrol. Laisse le, il n'est pas dangereux

Vire le dossier: H:/Program Files/SearchRelevant (Avant de le virer, regarde dans Ajout/suppression de programmes si tu as un truc en rapport avec SearchRelevant. Si oui, désinstalle proprement puis vire le dossier).
Vire les fichiers H:/Windows/System32/doolsav.dat et H:/Windows/System32/dun.exe. Ensuite assure le steack en passant un coup de MS Antispyware.

Et poste un nouveau log HJT pour qu'on voit ce qu'il en est de Rbot (une fois que tu auras remonté le DD sur le PC).
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 16:01
Le log est OK.

Demande au bonhomme si c'est normal qu'il ait un proxy avec Club Internet.

Pour le service en question, je ne sais pas si c'est bien de le virer. Le process en tout cas est légitime: voir ICI.

Le PC rame toujours?
Il ramait que connecté à Internet ou il ramait aussi hors connexion?

Je me renseigne un peu plus sur ce proxy.
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 16:08
La présence du proxy a l'air normale avec Club-Internet. Scan hijackthis Icon_wink
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 16:52
Citation :
Vire les fichiers H:/Windows/System32/doolsav.dat et H:/Windows/System32/dun.exe.

Ca j'ai pas Mrgreen
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 16:59
Ben oui, forcément, Panda les a désinfectés. Scan hijackthis Tongue

L'habitude des scans en ligne où Panda ne désinfecte pas les spy/adwares. Scan hijackthis Invision-Board-France-56

Bon et sinon, comment qu'il va ce PC maintenant? Il a retrouvé sa forme?
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 17:23
Il démarre plus du tout.

Il reboote dés le bios.
Il détecte les périphériques et au lieu de lancer Windows il rédémarre.

Ce qui est étrange c'est que la carte mère sans rien de branché dessus (qu'elle sans lecteur ou disque dur) ne démarre pas...elle devrait.

Je vais regarder du côté matériel, je préfére ça : une panne franche.
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 17:34
Depuis quand il démarre plus du tout?
Depuis que tu as remonté le DD? Ou il démarrait déjà plus avant?
@+
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 18:07
Non, il était allumé, l'écran s'est figé et voili...voilou.

C'est bon j'ai trouvé, c'est le disque dur qui etait mort.

Merci Hello
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 18:23
Ah ben dans ce cas, les virus ont mouru aussi, alors! Scan hijackthis Invision-Board-France-81

Dommage! Scan hijackthis Icon_sad
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 18:31
Oui, tout le monde il a mouru. Lol

J'avais un doute ce matin sur un problème de virus, je pensais plus à un problème matériel. Alors par acquis de conscience je t'ai demandé ce que tu pensais du log.
Il y avait quelques truc mais quand même pas de quoi planter Windows comme ça.

Surtout que plus le PC chauffait, plus ça ramait pour enfin se figer.

Donc voilou.

Dans tous les cas merci. Bravo !
Revenir en haut Aller en bas
http://clicenter.free.fr
Bonemine
Modo
Modo
Bonemine


Nombre de messages : 1538
Localisation : Toulon
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 18:37
De rien! Ce fut un plaisir. Scan hijackthis Smile

Si t'en as d'autres, n'hésite pas:tu sais que moi, je consomme du log HJT comme d'autres consomment du chocolat. Scan hijackthis Invision-Board-France-81
Revenir en haut Aller en bas
http://www.micro-astuce.com
Renard
Administrateur
Administrateur
Renard


Nombre de messages : 2918
Localisation : Carcassonne
Date d'inscription : 22/04/2005

Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis EmptyMer 29 Juin à 21:09
Pas de problème ! C'est bon
Revenir en haut Aller en bas
http://clicenter.free.fr
Contenu sponsorisé





Scan hijackthis Empty
MessageSujet: Re: Scan hijackthis   Scan hijackthis Empty
Revenir en haut Aller en bas
 
Scan hijackthis
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Analyse de log hijackthis
» Active Scan Panda

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum Micro-Astuce :: Virus et sécurité :: Virus et sécurité-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser