Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Mon log hijacking

Dernière réponse le 12 sep 2005 à 16:02:39 claude Fricot, le 11 sep 2005 à 18:05:46

Signaler ce message aux modérateurs

Bonjour, je m'interesse très fort à toutes les questions et réponses posées
Dans mon log hidjacking, j'ai nettoyé comme ils m'indiquaient des http://akamai , en 016.
Mais il me reste en 08 un AOL toolbar.
Est-il vraiment méchant? je l'ai supprimé, mais il s'est réinstallé
Qu'en pensez vous?
Merci à l'avance
Logfile of HijackThis v1.99.1
Scan saved at 17:45:25, on 11/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\NoPub\Nopub.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
C:\Program Files\AOL 9.0a\aoltray.exe
C:\Program Files\AOL Compagnon\companion.exe
C:\Program Files\AOL 9.0a\waol.exe
C:\Program Files\AOL 9.0a\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 16 pour hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_2_3_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_2_3_0.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Nopub] C:\PROGRA~1\NoPub\Nopub.exe min
O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F75210FB-1563-4259-9B04-902554E41EDF}: NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Configuration: Windows XP Home Edition Service Pack 2 (build 2600)

Meilleures réponses pour « mon log hijacking » dans :

Comment interpreter un log hijackthis Voir

Analyser, interpréter un log HijackThis et agir en conséquence Voir

Comment faire un log Hijackthis Voir

Aidez moi a decrypter ce log hijackthis Voir

LOG hijackthis Qu'est-ce qui ne va pas? (Résolu) Voir

Qui pour interpreter ce log hijackthissvp? (Résolu) Voir

Posez votre question Répondre

claudeFricot, le 12 sep 2005 à 09:35:14

Bonjour, je réponds à votre demande d'information, pour la confirmation de mon précédent message
Soit l'analyse de mon log
Merci
claude
--------------------------------------------------------------------------------

Computer Profile Summary
Computer Name: Claude (in WORKGROUP)
Profile Date: lundi 12 septembre 2005 09:27:10
Advisor Version: 7.0m
Windows Logon: Propriétaire

Click here for Belarc's System Management products, for large and small companies.

Operating System System Model
Windows XP Home Edition Service Pack 2 (build 2600) HP Pavilion 06 DA295A-ABF 715. 00(0211RE101SALSA
System Serial Number: NLD31925FT FR100
Enclosure Type: Desktop
Processor a Main Circuit Board b
1,67 gigahertz AMD Athlon XP
128 kilobyte primary memory cache
256 kilobyte secondary memory cache Board: KM266-8235
Serial Number: KE1316372381
Bus Clock: 133 megahertz
BIOS: Phoenix Technologies, LTD AM37312 03/17/2003
Drives Memory Modules c,d
41,09 Gigabytes Usable Hard Drive Capacity
28,96 Gigabytes Hard Drive Free Space

LITE-ON LTR-48246S [CD-ROM drive]
Toshiba DVD-ROM SD-M1712 [CD-ROM drive]
Lecteur de disquettes [Floppy drive]

Maxtor 2F040L0 [Hard drive] (41,11 GB) -- drive 0, s/n F19MV7ME, rev VAM51JJ0, SMART Status: Healthy 256 Megabytes Installed Memory

Slot 'A0' has 256 MB
Slot 'A1' is Empty
Slot 'A2' is Empty
Local Drive Volumes

c: (NTFS on drive 0) 36,82 GB 28,08 GB free
d: (FAT32 on drive 0) 4,27 GB 878 MB free

Network Drives
None detected
Users (mouse over user name for details) Printers
local user accounts last logon
Administrateur 25/08/2005 18:25:07 (admin)
Propriétaire 12/09/2005 09:14:02 (admin)
local system accounts
HelpAssistant never
Invité never
SUPPORT_388945a0 never
SUPPORT_fddfa904 never

Marks a disabled account; Marks a locked account Lexmark Z25-Z35 on USB001
Microsoft Shared Fax Driver on SHRFAX:

Controllers Display
Contrôleur de lecteur de disquettes standard [Controller]
Canal IDE principal [Controller]
Canal IDE secondaire [Controller]
Contrôleur IDE Bus Master VIA [Controller] NVIDIA GeForce4 MX 420 [Display adapter]
HP MX70 [Monitor] (15,7"vis, s/n CNNFO04390, octobre 2002)
Bus Adapters Multimedia
Contrôleur hôte PCI vers USB standard étendu
Contrôleur hôte universel USB Rev 5 ou ultérieur VIA (3x) Realtek AC'97 Audio for VIA (R) Audio Controller
Communications Other Devices
Conexant HSF V92 56K PCI Modem

Carte réseau Fast Ethernet PCI Realtek RTL8139 Family
Dhcp Server: 192.168.0.1
Physical Address: 00:40:CA:54:57:87
SpeedTouch(tm) USB ADSL RFC1483
primary APIPA Address: 169.254.209.215 / 16
Physical Address: 00:90:D0:8F:C8:6B
WAN (PPP/SLIP) Interface
IP Address: 172.210.150.243 / 32
Gateway: 172.210.150.243
Physical Address: 00:53:45:00:00:00

Networking Dns Server: 205.188.146.145
Logitech QuickCam Express
USB Flatbed Scanner
HP PS2 Keyboard (2K - 3)
Souris compatible PS/2 [Mouse]
SpeedTouch 330 ADSL Modem
Concentrateur USB racine (4x)
Prise en charge d'impression USB
Virus Protection [Back to Top]
Norton AntiVirus Version 9.05
Virus Definitions Version 08/09/2005 Rev 25
Last Disk Scan on dimanche 21 août 2005 10:01:35
Realtime File Scanning On

Missing Microsoft Security Hotfixes [Back to Top]

All required security hotfixes (using the 05/10/2005 Microsoft Security Bulletin Summary) have been installed.

Répondre à claudeFricot

jean38, le 12 sep 2005 à 09:54:43

Salut,

qui t'a demandé ces infos?? on a tout là... lol

Répondre à jean38

claude Fricot, le 12 sep 2005 à 12:26:50

Bonjour.
C'est sur le message reçu de chez vous, que l'on me demandait un complément d'information mais comme je ne savais pas ce que vous aviez besoin, j'en ai peut-être trop mis
C'est une copie de Belarc advisor

. Ci joint le cop col de votre demande, merci de votre intérêt
Amitiés claude

Certains de vos messages n'ont malheureusement pas obtenu de réponse, peut-être est-ce par manque de précision. Je vous propose de préciser votre configuration (notamment le système d'exploitation que vous utilisez), ainsi que les éventuelles pistes que vous avez pû trouver par ailleurs, afin de faire remonter le message et augmenter vos chances d'obtenir des réponses

Répondre à claude Fricot

jean38, le 12 sep 2005 à 14:20:16

Alors de chez moi, negatif car tu sais sur ccm, les personnes qui t'aident son des passionnés et pas de ccm.

fait attention en donnat des infos car en donnant certaine, tu pourrais fournir à des ames peu intentionnées des info fortes prejudiciables pour toi.

le minimum obligatoire c'est:
systeme windows ou autres..

Pour les reponses, il est vrai qu'une question mal posée peut ne pas avoir de reponse. Comme je te l'ai dit, nous avons tous un metier et les reponses se font pendant les temps creux. Aussi, souvent geaucoup de post alors ceux qui nous font plus poser de question pour les comprendre que pour y apporter des reponses sont un peu delaissés.

log hijack, c'est vaste, il faut clairement préciser tes pb afin de mieux nous mettre sur des pistes virales.

prend le temps de lire la charte tout y est mieux expliqué.

je regarde ton log et reviens.

Jean

Répondre à jean38

jean38, le 12 sep 2005 à 14:31:52

Alors ton log... RAS

pour les O16, activX, toutes peuvent etre fixées dans hijack en cas de doute car si tu fixais par erreur, des la première reconnection à un de ses sites désirés, il te demanderais de les charger.

Pour plus d'info... un petit scoop avec un grand merci pour sa réalisation à Balltrap

http://www.zebulon.fr/articles/HijackThis.php

A+

Jean

Répondre à jean38

claudeFricot, le 12 sep 2005 à 14:32:29

Merci Jean de tes explications, j'ai trop mis de mes données, alors supprime stp
Ma question était la suivante
J'ai tout nettoyé suivant l'ananalyse de hijacking
Il ne me reste que le 08extra context menu item&recherche AOL toolbar
Qu'ils m'ont classé comme méchant
Et je voulais savoir, si c'est vraiment méchant?
Car j'ai supprimé et il s'est réinstallé
Comme mon FAI est AOL, je me demande si je dois insister.
A te lire
claude

Répondre à claudeFricot

claudeFricot, le 12 sep 2005 à 14:47:20

Merci Jean pour ton analyse de mon log
Mais c'est le 08 que j'aurais voulu avoir des précisions
Recherches AOL toolbar
Nos réponses se sont croisées
Merci si tu peux me préciser

Répondre à claudeFricot

jean38, le 12 sep 2005 à 15:10:36

Cher claude,

les O8 sont des barres d'outil ajoutée au menu contexctuel de IE. Si tu es chez AOL en FAI, il te rajoute des fonctionnalité qui leurs sont propres.

Je ne sais qui te le classe en dangereux, certainement un robot d'analyse automatique (c'est le danger de ces analyses).

Donc si tu es chez AOL alors RAS.

A+

Jean

Répondre à jean38

claudeFricot, le 12 sep 2005 à 16:02:39

Ok merci Jean.Je crois que l'on peu clore la discussion.
Exact mon FAI est AOL.
C'est dans l'évaluation du log, hijackthis, qu'il a été considéré comme méchant, comme tu dis en automatique.
Tu dois pouvoir supprimer mes coordonnées, car je ne pense pas que ce soit possible pour moi.
Je le saurai pour une prochaine fois
Amitiés claude

Répondre à claudeFricot

Posez votre question Répondre