Sujet Précédent Sujet Suivant

Je comprend rien au log d' hijack this

Fermé
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 - 18 mai 2004 à 19:54
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 19 mai 2004 à 16:32
bonjour à tous,
pourriez vous me dire si il y a quelque chose de suspect SVP
je vous remerci d'avance

Logfile of HijackThis v1.97.7
Scan saved at 19:50:28, on 18/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TrayIcon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\el president\Bureau\hjtlog.exe
c:\hijackthis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = F:\Copernic Agent\Web\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - F:\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINDOWS\System32\TrayIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-aware] "F:\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SpybotSnD] "F:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Chercher avec Copernic Agent - F:\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38111.4228472222
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab



la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>

13 réponses

Réponse 1 / 13
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
18 mai 2004 à 20:05
salut
si tu nous disait ton probleme pour commencer ca aide
0
Réponse 2 / 13
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 13
18 mai 2004 à 20:57
désolé pour l'oubli,
en fait, j'ai pas mal de "non réponse" sur plein de prog (à peu près tous mais pas tout le temps).
de plus, mon pc rame plus qu'avant et j'ai rien trouvé de suspect dans les processus.
je fais des scans et des mises à jours (spybot 1.3, ad-aware 6, antivir personal edition6 et win XP) toutes les semaines.
je vois pas d'où ça peu venir.
merci et encore désolé


la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>
0
Réponse 3 / 13
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
18 mai 2004 à 21:36
Salut
Relance hijack coche et fix ces lignes

O4 - HKLM\..\Run: [BearShare] "F:\BearShare\BearShare.exe" /pause
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialise
F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe



Recherché et supprime ces 2 programmes

F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe
0
Réponse 4 / 13
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 13
19 mai 2004 à 09:36
petite question suplémentaire:
si je désinstalle les deux bearshare.exe, est ce que ce logiciel marchera car j'en est besoin pour mon rapport de stage (et oui, tous ceux qui ont ce genre de logiciel ne téléchargent pasque des choses illégales).
merci d'avance pour vos réponses.

la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
19 mai 2004 à 09:47
Moi je ne vois rien d'anormal dans ton log, et jene comprends pas pourquoi tu devrais fixer ctfmon.exe (http://www.commentcamarche.net/processus/ctfmon-exe.php3)

"el presidente" ? :-D



.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." :::.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
19 mai 2004 à 11:06
tu as raison
mais a force de les analyser j ai lu ctfmon.dll
0
Réponse 6 / 13
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 13
19 mai 2004 à 09:50
dis moi flokocha, pourquoi m'a tu écris "el presidente"?
me connaitrais tu??

la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>
0
Réponse 7 / 13
marjl
19 mai 2004 à 09:53
salut,
ctfmon.exe c'est bien un process et pas un virus. Mais si balltrap a dit ça, c'est pour éviter qu'il se lance au démarrage pour que le PC rame moins. Enfin, je pense.
Par contre, ligne 016 House Call, c'est l'activeX de secuser.com pour un scan en ligne, il me semble bien. On peut supprimer, mais il faudra recharger au prochain scan.
0
Réponse 8 / 13
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 13
19 mai 2004 à 09:54
désolé, tu l'as surement lu dans le log.
pour la petite histoire, c'est parce que je fu président d'une assoc étudiante et c'était mon surnom.
mais, pour bearshare, est ce que je peux les effacer ces deux fichier sans altérer le fonctionnement du logiciel??
merci pour tout

la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>
0
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
19 mai 2004 à 10:00
Oui je l'ai effectivement vu dans une ligne du code !

Pour ce qui est de BearShare, à mon avis tu ne pourras plus l'utiliser si tu le fixes, et je ne vois pas l'intérêt non plus de le fixer.
Encore une fois pour moi ton log ne présente rien d'anormal.


.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." :::.
0
Réponse 9 / 13
cachalot Messages postés 162 Date d'inscription vendredi 9 avril 2004 Statut Membre Dernière intervention 6 février 2007 13
19 mai 2004 à 10:04
ok bah merci c'est gentil de vous occuper de moi :-)))))))))

la vie c'est bien, en profiter c'est mieux!!!    
<~:~cachalot~:~>
0
Réponse 10 / 13
marjl
19 mai 2004 à 11:07
Tu as aussi configuré ad-aware et spybot pour qu'ils se lancent au démarrage. Si le PC rame trop, tu peux le décocher (vas dans leurs options) et les lancer manuellement au moment que tu choisis.Par contre, tu laisses bien ton antivirus se lancer, c'est important.
Dernier truc, j'ai vu sur les forums que, chez certains,Tea Timer alourdit la machine. Pour ma part, je l'ai pas activé.
D'autres pourront t'en dire plus, là dessus certainement.
0
Réponse 11 / 13
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
19 mai 2004 à 11:11
W32/Blaxe-A est un ver qui se propage via le partage de fichiers sur les réseaux sans serveur.

Lorsqu'il est exécuté pour la première fois, W32/Blaxe-A se copie dans le dossier Windows sous les noms de fichiers BearShare.exe et WinBat.exe et crée dans le registre les entrées suivantes de manière à ce que BearShare.exe soit exécuté automatiquement à chaque démarrage de Windows :
0
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
19 mai 2004 à 11:25
"W32/Blaxe-A se copie dans le dossier Windows"

Ce n'est pas le cas ici.


.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." :::.
0
Réponse 12 / 13
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
19 mai 2004 à 11:33
BearShare.exe soit exécuté automatiquement à chaque démarrage de Windows :
ce qui est apparament le cas lignes 04
0
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
19 mai 2004 à 13:39
Effectivement mais cela ne concerne pas les lignes F:\BearShare\BearShare.exe
F:\BearShare\BearShare.exe

De plus il me semble que cela viendrait plutot d'une option présente dans paramètres de BearShare qu'il suffirait de désactiver, si cela est possible.

Mais je ne pense pas que notre ami soit atteint par Blaxe, sinon le log d'HijackThis aurait sorti des lignes contenant C:\Windows\BearShare.exe et C:\Windows\WinBat.exe .


.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." :::.
0
Réponse 13 / 13
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
19 mai 2004 à 16:32
le mieux il larrete dans msconfig et la il vas voir ce qu il en est
c est vrai que c est anbigue
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Whismeril -

3 réponses
Erreur 403: You don't have permission to access on this server ?
yamelle -
WolfTenBA -

19 réponses
download failed bc. you may not have purchased this app.
jonas-kobb -
Begue2000 -

7 réponses
Erreur Java, sur affichage web d'un Switch
CorentinRoche -
CorentinRoche -

1 réponse
message de retour après l'envoie d'1 mail????
boop -
Hush -

17 réponses