Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus AIDE pour analyse sur Hijackthis

AIDE pour analyse sur Hijackthis

5 réponses
Avatar
Anonyme
Bonjour à tous,

j'aurais besoin d'un coup de main pour comprendre l'analyse d'HijackThis. En
fait je voudrais savoir quels sont les éléments que je dois supprimer ou
garder ...

Avis aux amateurs ou aux experts, Merci d'avance pour vos précieux conseils




Logfile of HijackThis v1.99.1
Scan saved at 20:59:15, on 08/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CascSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\PcBoost\PcBoost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\XIMUNC~1\LOCALS~1\Temp\Rar$EX00.218\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUMENTS AND SETTINGS\xxx\\MES DOCUMENTS\Mes
téléchargements\HijackThis-1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program
Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN
Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch
Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers
communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN
Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [PcBoost] "C:\Program Files\PcBoost\PcBoost.exe" /start
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather
Forecast\weather.exe
O4 - HKLM\..\Run: [SAcc] C:\Program Files\SAcc\SAcc.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet
Security 12\pccguide.exe"
O4 - HKLM\..\RunServices: [win32sys] systemdll.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
/background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
/minimized
O8 - Extra context menu item: &Google Search - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Allocam Multi Vision -
{2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi
Visio\allocam.exe (file missing)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision -
{2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\Program Files\Allocam Multi
Visio\allocam.exe (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109080217834
O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} -
http://fr.moneycentral.msn.com/cabs/pmupdate2.exe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{407B71A9-0256-43C6-AF47-182B74D5CCE2}:
NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Casc'ADSL (CascSvc) - Unknown owner -
C:\WINDOWS\system32\CascSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -
C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend
Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -
Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro
Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
Signaler un problème avec ce contenu

5 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
DROGER Jean-Paul
Bonjour à tous,

j'aurais besoin d'un coup de main pour comprendre l'analyse d'HijackThis. En
fait je voudrais savoir quels sont les éléments que je dois supprimer ou
garder ...

pour ne pas mourir idiot tu peux aller sur le site de zebulon.com et y

trouver un tutorial,ici:
http://www.zebulon.fr/articles/HijackThis.php

comme cela tu y arrivears par toi même!!
bonne soirée!

--
Jean-Paul DROGER (enlever "anti." et remplacer "ptt" par "wanadoo" pour
me joindre en perso; remove "anti." and replace "ptt" by "wanadoo" to
answer me directly)

Avatar
Marc-Antoine
"DROGER Jean-Paul" a écrit dans le
message de news:
Bonjour à tous,

j'aurais besoin d'un coup de main pour comprendre l'analyse
d'HijackThis. En fait je voudrais savoir quels sont les éléments que
je dois supprimer ou garder ...

pour ne pas mourir idiot tu peux aller sur le site de zebulon.com et y

trouver un tutorial,ici:
http://www.zebulon.fr/articles/HijackThis.php

comme cela tu y arrivears par toi même!!
bonne soirée!

--
Ou ici : http://www.hijackthis.de/index.php



Avatar
rm

Bonjour à tous,


salut,


j'aurais besoin d'un coup de main pour comprendre l'analyse d'HijackThis. En
fait je voudrais savoir quels sont les éléments que je dois supprimer ou
garder ...

Avis aux amateurs ou aux experts, Merci d'avance pour vos précieux conseils


tu dois conserver ce qui t'es utile et on peut, sans info supplémentaire,
pas trop deviner...
mais je peux te dire ce que *je* trouve inutile (voire suspect) et que je
virerais sans autre forme de procès... tu adapteras.

alors je vire tout ce que te laisse cité:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://g.msn.fr/0SEFRFR/SAOS02

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN
AppsST1.02.3000.1002en-xustmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:Program FilesMSN AppsMSN Toolbar1.02.3000.1001frmsntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program
FilesMSN AppsMSN Toolbar1.02.3000.1001frmsntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install



O4 - HKLM..Run: [UpdateManager] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavaj2re1.4.2_03binjusched.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [iTunesHelper] C:Program FilesiTunesiTunesHelper.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime

O4 - HKLM..Run: [msnappau] "C:Program FilesMSN
AppsUpdater1.02.3000.1001frmsnappau.exe"



doute, pour celui là:
O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup -s



ça pue un peu ça, vois google -> spy
O4 - HKLM..RunServices: [win32sys] systemdll.dll



O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe"
/background

O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html



O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavaj2re1.4.2_03binnpjpi142_03.dll
O9 - Extra button: Allocam Multi Vision -
{2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:Program FilesAllocam Multi
Visioallocam.exe (file missing)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision -
{2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:Program FilesAllocam Multi
Visioallocam.exe (file missing)



tiens ça confirmerait que le newdotmachin plus haut, sent pas bon non
plus...
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109080217834
O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} -
http://fr.moneycentral.msn.com/cabs/pmupdate2.exe


ça fait déja un bon petit ménage tout ça ;-) non ?

@+
--
rm
http://foxmail.free.fr

Avatar
joke0
Salut,

Ximun:

C:WINDOWSsystem32CascSvc.exe


Je ne connais pas ce truc, mais c'est supposé être 'Casc'ADSL'.
Ça te dis qqc ?

O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup -s


Ah, embêtant. NewDotNet peut vraiment être très embettant s'il
est mal désinstaller.

Voir ici:
http://joke0.free.fr/ht.html#winsock

Utiliser Spybot ou Adaware pour le virer.

O4 - HKLM..Run: [Daily Weather Forecast] C:Program FilesDaily Weather
Forecastweather.exe


C'est normal ça ?
Tu peux le faire scanner ici:
http://virusscan.jotti.org/

O4 - HKLM..RunServices: [win32sys] systemdll.dll


Ceci sent très fortement la bestiole: http://virusscan.jotti.org/

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


Résultant du point O4.

Pour faire le ménage:
- commencer par virer NewDotNet,
- analyser les fichiers suspects,
- démarrer en mode sans échec et virer les fichiers détectés à
la main.

--
joke0

Avatar
rm

C:WINDOWSsystem32CascSvc.exe


Je ne connais pas ce truc, mais c'est supposé être 'Casc'ADSL'.
Ça te dis qqc ?


à moi oui, c'est effectivement CascADSL, lancé en service (voir les O23):
un très gentil (et pratique) logiciel !

@
--
rm