Aide pour l'analyse du log hijackthis

sika_1_1 · Janvier 18, 2005, 10:43

Bonjour,

J’ai fait le scan et voilà ce que j’obtiens:

Logfile of HijackThis v1.99.0
Scan saved at 22:42:23, on 18.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\mssams.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\autoclk.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Documents and Settings\Sik\Mes documents\Install\Scan\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Scan\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [Dit] Dit.exe
O4 - HKLM…\Run: [StorageGuard] “C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM…\Run: [F7AAeji] C:\WINDOWS\qqacdqya.exe
O4 - HKLM…\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM…\Run: [HPHUPD04] “C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe”
O4 - HKLM…\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM…\Run: [¢¸u04C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qqacdqya.exe
O4 - HKLM…\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM…\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM…\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM…\Run: [Security Agent Manager] mssams.exe
O4 - HKLM…\RunServices: [Security Agent Manager] mssams.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [Security Agent Manager] mssams.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O17 - HKLM\System\CCS\Services\Tcpip…{19855AC3-6F36-45D1-91E6-45FD20A3F6F9}: NameServer = 212.27.39.1 213.228.0.23
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Est ce ue quelqu’un peut me dire ce que je dois fixer?
Merci.

Keeper · Janvier 18, 2005, 10:55

slt miss
au premier coup d’oeil le ver Rbot est aux abonnées presents

http://www.sophos.com/virusinfo/analyses/w32rbotsv.html

+++

mike27 · Janvier 18, 2005, 11:04

salut,

dans les O4 tu peux fixer

O4 - HKLM…\Run: [F7AAeji] C:\WINDOWS\qqacdqya.exe
O4 - HKLM…\Run: [¢¸u04C
}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qqacdqya.exe

sika_1_1 · Janvier 18, 2005, 11:06

Pour sophos, je ne suis pas inscrite, y a t il un autre moyen??

_Ric_1_1 · Janvier 18, 2005, 11:09

Tu utilises un logiciel qui s’appelle Security Agent Manager ?

sika_1_1 · Janvier 18, 2005, 11:10

Non pas à ma connaissance …

_Ric_1_1 · Janvier 18, 2005, 11:12

mssams.exe / Security Agent Manager et tout ce qui y fait référence semble être un ver:

WORM_RBOT.AKB

de plus autoclk.exe semble être un cheval de troie …

sika_1_1 · Janvier 18, 2005, 11:14

Je l’enlève comment? Car avec fixed ca revient …

_Ric_1_1 · Janvier 18, 2005, 11:21

Beh, déjà désactiver la restauration système !

Puis aller ( éventuellement en mode sans échec ! ) supprimer
mssams.exe qui se trouve dans C:\WINDOWS\System32\

et autoclk.exe qui est dans C:\WINDOWS

puis ensuite fixer ces lignes :

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM…\Run: [F7AAeji] C:\WINDOWS\qqacdqya.exe

O4 - HKLM…\Run: [¢¸u04C

}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qqacdqya.exe

O4 - HKLM…\Run: [Security Agent Manager] mssams.exe

O4 - HKLM…\RunServices: [Security Agent Manager] mssams.exe

O4 - HKCU…\Run: [Security Agent Manager] mssams.exe

sika_1_1 · Janvier 18, 2005, 11:24

Ou est ce que c’est pour désactiver la restauration système?

_Ric_1_1 · Janvier 18, 2005, 11:42

Panneau de configuration -> système -> onglet restauration du système -> décocher …

http://www.msfn.org/board/style_images/1/icon13.gif le fait de désactiver la restauration, fait que tu perds les points de restaurations créés avant … mais t’as pas trop le choix …

Après , recoches, et recrées toi un point de restauration …

sika_1_1 · Janvier 18, 2005, 11:48

D’accord j’essaie ca.
J’ai supprimé autockl mais je ne trouve pas msams :sarcastic:

Keeper · Janvier 19, 2005, 12:34

C:\WINDOWS\autoclk.exe n’est q’une fausse alerte
si ton modem déconne tu sait d’ou sa vient :jap:

stin07 · Janvier 19, 2005, 12:50

pour le msams…
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
“”""""""""""""""""""""""""""""""""""""""""""""""""""""""""“runonce
“””""""""""""""""""""""""""""""""""""""""""""""""""""""""""runservice
HKEY_CURRENT_USER>Software>Microsoft>OLE (enlever aussi ici msams)

sika_1_1 · Janvier 19, 2005, 12:26

Je l’ai enlevé dans HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

Je n’ai pas trouvé mssams dans
“”"""""""""""""""""""""""""""""""""""""""""""""""""""""""""runonce

et je n’ai pas “”"""""""""""""""""""""""""""""""""""""""""""""""""""""""""runservice
HKEY_CURRENT_USER>Software>Microsoft>OLE

c’est normal??

stin07 · Janvier 19, 2005, 12:53

si tu le détecte plus, c’est ok…@+

sika_1_1 · Janvier 19, 2005, 1:14

Je le détecte tjrs malheureusement :((

stin07 · Janvier 19, 2005, 2:01

voir ici…
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AHR

sika_1_1 · Janvier 19, 2005, 3:20

J’ai fait ce qui était décrit et visiblement je ne l’ai plus. Voici mon dernier log hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\wuampd.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Sik\Mes documents\Install\Scan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Scan\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [Dit] Dit.exe
O4 - HKLM…\Run: [StorageGuard] “C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM…\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM…\Run: [HPHUPD04] “C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe”
O4 - HKLM…\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe”
O4 - HKLM…\Run: [Microsoft Update] wuampd.exe
O4 - HKLM…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM…\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [Microsoft Update] wuampd.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip…{19855AC3-6F36-45D1-91E6-45FD20A3F6F9}: NameServer = 212.27.39.1 213.228.0.23
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Y a t-il autre chose à enlever?
Quand je regarde tout ce qui tourne j’0btiens ca.
http://img146.exs.cx/img146/9691/sanstitre0pv.th.jpg
Rien qui cloche? :sarcastic:

mike27 · Janvier 19, 2005, 3:35

salut,

pour moi, ce n’est pas bon : wuampd.exe
le wuampd.exe est le ver RBOT ; il a le culot de s’enregistrer en ant que [microsoft Update] !

ceci serait à supprimer ( à fixer) , en mode sans échec:
O4 - HKCU…\Run: [Microsoft Update] wuampd.exe