rapport hijackthis

4 réponses

Franck

20/08/2008 à 13:31

Bonjour à tous.

Grâce à ce forum, très intéressant et didactique au passage, j'ai découvert
un logiciel du nom de "hijackthis" et l'utilise depuis assez régulièrement
afin de sonder les entrailles de ma machine ! ;-) et y virer des choses
suspectes et/ou inutiles.

Je pense avoir un comportement plutôt sain en terme de navigation sur le
net, d'installation de prog... et j'utilise également spybot et adaware.

J'ai windows XP à jour (SP 3), j'ai ie7 mais j'utilise firefox, sinon je ne
vois pas quoi d'autre ajouter. Naturellement si vous aviez besoin d'autres
infos, je vous les fournirai sans pb.

L'un de vous pourrait-il me dire si le log ci-dessous d'hijackthis est sain
? Perso, je sais pas ce que sont les entrées kdilc.exe (O4) (d'autant que je
ne le trouve pas dans C:\WINDOWS\system32), tdserver.bitstream.com (O16) et
bouyguestelecom (O16), ces trucs là ne me disent rien....

Merci d'avance à tous et bonne continuation.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:00, on 20/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500
Series\lxdiamon.exe"
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500
Series\lxdimon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdilc.exe]
C:\WINDOWS\system32\kdilc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User
'Default user')
O4 - Startup: Démarrage d'Office.lnk.disabled
O4 - Startup: Microsoft Recherche accélérée.lnk.disabled
O4 - Startup: Nikon Monitor.lnk.disabled
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program
Files\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://tdserver.bitstream.com/tdserver.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191215752625
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) -
http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program
Files\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program
Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program
Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program
Files\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. -
C:\Program Files\DiskeeperLite\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Program Files\Fichiers
communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. -
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6896 bytes

4 réponses

PovTruffe

20/08/2008 à 15:40

"Franck" a écrit :

L'un de vous pourrait-il me dire si le log ci-dessous d'hijackthis est sain ? Perso, je sais pas ce que sont les
entrées kdilc.exe (O4) (d'autant que je ne le trouve pas dans C:WINDOWSsystem32), tdserver.bitstream.com (O16) et
bouyguestelecom (O16), ces trucs là ne me disent rien....

Une analyse automatique de ton log par le site http://www.hijackthis.de
indique qu'il y a des trucs qualifiés de "Nasty" (méchants) ou inconnus.
Mais je n'en sais pas plus.

guivrevorace

23/08/2008 à 23:24

On 20 août, 15:40, "PovTruffe" wrote:

"Franck" a écrit :

> L'un de vous pourrait-il me dire si le log ci-dessous d'hijackthis est sain ? Perso, je sais pas ce que sont les
> entrées kdilc.exe (O4) (d'autant que je ne le trouve pas dans C:WIND OWSsystem32), tdserver.bitstream.com (O16) et
> bouyguestelecom (O16), ces trucs là ne me disent rien....

Une analyse automatique de ton log par le sitehttp://www.hijackthis.de
indique qu'il y a des trucs qualifiés de "Nasty" (méchants) ou inconn us.
Mais je n'en sais pas plus.

arf... Ne jamais faire vérifier son log hyjackthis par un robot...
Enfin... C'est que il y a des tas de trucs qu'il ne voit pas, de plus
certaines fois, c'est le même nom pour la saloperie et pour le malware
et le robot, il y voit que du feu.

guivrevorace

23/08/2008 à 23:50

Déjà, t'est pas au top du tout de ce qui ce fait en sécurité gratui te.
Vire avast et ad aware. Spybot, n'est absolument pas nécessaire si
t'as online armor.
Met antivir classic, maj et scan quarantaine voir suppression. Rajoute
malwarebytes tu fera un scan direct, puis un de temps en temps.
Online armor est bien meilleur pare-feu que zone alarm, za est
cependant convenable. online armor est un "hips", pour la petite
histoire.
http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fich es/13198.html
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Et pour online armor:
http://www.clubic.com/telecharger-fiche23279-online-armor.html

Pour configurer bien un pare feu ces deux liens sont super utiles (tu
peut y vérifier la légitimité d'un processus, d'une mail ou ip, te fi e
pas trop au nom, je me suit déjà fait avoir comme sa):
http://www.processlibrary.com/fr/
http://member.dnsstuff.com/pages/tools.php

Sa c'est pour la légitimité d'un fichier:
http://www.virustotal.com/fr/

Par contre, je lirais le rapport en détail demain matin. Je prend un
peu de temps a lire sa, et je suit un peu fatigué.

guivrevorace

24/08/2008 à 16:59

On 23 août, 23:50, wrote:

Déjà, t'est pas au top du tout de ce qui ce fait en sécurité grat uite.
Vire avast et ad aware. Spybot, n'est absolument pas nécessaire si
t'as online armor.
Met antivir classic, maj et scan quarantaine voir suppression. Rajoute
malwarebytes tu fera un scan direct, puis un de temps en temps.
Online armor est bien meilleur pare-feu que zone alarm, za est
cependant convenable. online armor est un "hips", pour la petite
histoire.http://www.01net.com/telecharger/windows/Securite/antivirus-anti troja...http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Et pour online armor:http://www.clubic.com/telecharger-fiche23279-online- armor.html

Pour configurer bien un pare feu ces deux liens sont super utiles (tu
peut y vérifier la légitimité d'un processus, d'une mail ou ip, te fie
pas trop au nom, je me suit déjà fait avoir comme sa):http://www.proc esslibrary.com/fr/http://member.dnsstuff.com/pages/tools.php

Sa c'est pour la légitimité d'un fichier:http://www.virustotal.com/fr /

Par contre, je lirais le rapport en détail demain matin. Je prend un
peu de temps a lire sa, et je suit un peu fatigué.

Je n'arrive pas a identifier sa:
O4 - HKLM..Run: [C:WINDOWSsystem32kdilc.exe]
C:WINDOWSsystem32kdilc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. -
C:Program FilesDiskeeperLiteDKService.exe
O23 - Service: lxdi_device - - C:WINDOWSsystem32lxdicoms.exe

Un passage chez totalvirus est de rigueur par prudence.

T'as gagner le droit de télécharger registery booster et de scanner,
afin de réparer des erreurs.

rapport hijackthis

4 réponses

Veuillez sélectionner un problème