aide pour un log HijackThis siouplait

aide pour un log HijackThis siouplait - Sécurité - Windows & Software

Marsh Posté le 18-08-2004 à 16:31:07    

bjr a tous!
 
donc voila, je vous expose mon problème, je sais que j'ai une merde sur mon ordi, mais je la trouve pas... on m'a conseillé HijackThis seulement je comprend pas grand chose au log, donc j'préfere vous demander!
 
merci d'avance de votre aide!!
 
Logfile of HijackThis v1.98.2
Scan saved at 14:42:41, on 18/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Grenouille.com\Grenouille\Grenouille.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\LVComS.exe
C:\PROGRA~1\EUROBA~1\erobar.exe
C:\Documents and Settings\CriCri\Bureau\hjt\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pagesperso.laposte.net/cabp [...] marage.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect /keeploaded
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Grenouille] C:\Program Files\Grenouille.com\Grenouille\Grenouille.exe /NOSPLASH
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version4/Applet/wchatsign.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28177.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D21AD60A-6222-43AA-B488-8F9B868BE3A1}: NameServer = 80.10.246.2 80.10.246.129
 

Reply

Marsh Posté le 18-08-2004 à 16:31:07   

Reply

Marsh Posté le 18-08-2004 à 17:54:56    


Il n'y a rien de suspect dans ce rapport.
 
Refais une analyse RAV.
 
Et pour les malwares, passe AdAware SE:
http://lavasoft.element5.com/french/support/download/  
Pack français sur:  
http://www.webmatze.tk/

Reply

Marsh Posté le 18-08-2004 à 17:59:56    

j'ai déjà passé adaware et spybot!
sinon j'pensais qu'y avait quelque chose de suspect pasque je trouve qu'une cinquantaine de processus c'est quand meme énorme... d'autant que certains ont des noms chelou!!
enfin merci!!
j'vais refaire un antivirus en ligne pour etre sure que tout va bien ^^

Reply

Marsh Posté le 18-08-2004 à 18:03:41    

rien de suspect, tu rigoles? y a déja ça au moins  
 
C:\WINDOWS\wanmpsvc.exe  
 
(d'après ça http://www.anti-spy.info/file/wanmpsvc.exe.html si c'était le truc d'AOL ça ne serait pas dans le répertoire windows ;))
 
bon je regarde le reste :)
 
edit : bien sûr c'est d'après ce que je lis par recherche sur google


Message édité par minipouss le 18-08-2004 à 18:05:31
Reply

Marsh Posté le 18-08-2004 à 18:06:20    

okay ben mici j'lai dans mes processus celui la et j'le sentais mal, j'savais pas d'ou y sortait (et google m'a rien donné, j'dois pas etre douée lol)

Reply

Marsh Posté le 18-08-2004 à 18:08:16    

euh.. je trouve louche :  
 
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe  
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
 
 
 
 

Reply

Marsh Posté le 18-08-2004 à 18:09:11    

eurobarre c'est normal
backweb j'en avais déjà viré une partie...

Reply

Marsh Posté le 18-08-2004 à 18:14:16    

t'as un pc portable Toshiba?
 
eh eh question con j'avais qu'à lire qques lignes plus bas dans ton log :D


Message édité par minipouss le 18-08-2004 à 18:15:34
Reply

Marsh Posté le 18-08-2004 à 18:14:50    

oui oui satellite!

Reply

Marsh Posté le 18-08-2004 à 18:26:41    

bon ben à part le truc soit-disant AOL (vérifie ses propriétés avec un clic-droit sur le fichier) j'ai pas l'impression qu'il y ai des bugs.
 
le backweb-8876480 ça va avec ta cam logitech ;) ça vérifie de temps en temps si il y a des mises à jour dispo
 
Par contre c'est clair que ton Toshiba il en lance des processus :/

Reply

Marsh Posté le 18-08-2004 à 18:26:41   

Reply

Marsh Posté le 18-08-2004 à 18:26:57    

wanmpsvc.exe  est un composant Aol.
 
BackWeb-8876480.exe  vient de Logitech et n'est pas nuisible.
 
Eurobarre s'installe volontairement.
 
----------
 
Il n'y a de suspect dans ce rapport.
 

Reply

Marsh Posté le 18-08-2004 à 18:27:45    

énorme wai :/ jregarde les propriétés de l'autre la et j'édite pour les donner
 
edit: les propriétés de wanmpsvc => Wan Miniport (ATW) Service (c'est une aplication avec cette description...)
question, quand on a AOL installé (par défaut je précise) sur le pc wanmpsvc s'installe dans c:\windows???


Message édité par tite_kikoo le 18-08-2004 à 18:30:31
Reply

Marsh Posté le 18-08-2004 à 18:29:45    

c'est bien ce que j'ai dit, sauf vérifier la provenance du wanmpsvc pour savoir si c'est bien le wan mini port service d'aol.
 
j'y pense, voila deux adresses qui te permettront de vérifier la véracité de tel ou tel prog :
 
http://www.answersthatwork.com/Tas [...] sklist.htm
 
et  
 
http://www.sysinfo.org/startuplist.php

Reply

Marsh Posté le 18-08-2004 à 18:31:30    

merci pour votre aide en tout cas!!

Reply

Marsh Posté le 18-08-2004 à 18:35:22    


Ce que tu peux faire pour alléger un peu, c'est passer par msconfig pour décocher des éléments comme BackWeb-8876480.exe  ou OSA.EXE qui ne sont pas indispensables.
 
Sinon, tout est normal.

Reply

Marsh Posté le 18-08-2004 à 18:38:16    

Tite_Kikoo a écrit :

merci pour votre aide en tout cas!!


 
de rien :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed