Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus Demande d'analyse d'un log HijackThis

Demande d'analyse d'un log HijackThis

4 réponses
Avatar
Bertrand M.
merci

Bertrand M.

Logfile of HijackThis v1.97.7
Scan saved at 17:40:13, on 24/05/2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\PROGRAM FILES\EXECUTIVE SOFTWARE\DISKEEPERLITE\DKSERVICE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\CTHELPER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALEVENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\OE-QUOTEFIX\OEQUOTEFIX.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
D:\TéLéCHARGEMENTS D\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program
files\google\googletoolbar2.dll
O2 - BHO: (no name) - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM
FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Zone Labs Client]
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky
Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program
Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [QuickTime Task]
"C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector]
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [kavsvc] C:\Program Files\Kaspersky Lab\Kaspersky
Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [DkService] C:\Program Files\Executive
Software\DiskeeperLite\DkService.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM
FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM
FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM
FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM
FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRAM
FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet -
C:\PROGRAM FILES\FLASHGET\jc_all.htm
O8 - Extra context menu item: Traduire cette page -
C:\WINDOWS\web\powertoy.htm
O8 - Extra context menu item: Download All by JetCar - C:\PROGRAM
FILES\JETCAR\JETCAR\jc_all.htm
O8 - Extra context menu item: Download using JetCar - C:\PROGRAM
FILES\JETCAR\JETCAR\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) -
http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {BA549C46-AD38-11D7-A476-00D0590EC9DE} (SiS_OCX98 Control) -
http://www.sis.com/support/chipdetect/SiSAutodetect98.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38125.0971180556
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software
AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software
AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update
Installation Engine) -
http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
-
merci

Bertrand M.

Logfile of HijackThis v1.97.7
Scan saved at 17:40:13, on 24/05/2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Là faut mettre à jour d'urgence ton Internet Explorer... Utilise Windows
Update...

Running processes:


Les programmes en mémoire au moment de la "photo" prise par Hijackthis.

C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMZONELABSVSMON.EXE
C:PROGRAM FILESKASPERSKY LABKASPERSKY ANTI-VIRUS PERSONALKAVSVC.EXE
C:PROGRAM FILESEXECUTIVE SOFTWAREDISKEEPERLITEDKSERVICE.EXE
C:WINDOWSEXPLORER.EXE


Tout ça a l'air normal...

C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE


Tu ferais bien de vérifier ce que sont vraiment ces deux processus. P-e
que c'est ma mémoire qui flanche, mais j'ai en particulier un gros doute
sur le second.

C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE


Normal...

C:WINDOWSSYSTEMGSICON.EXE


Celui-là est p-e louche...

C:WINDOWSSYSTEMDSLAGENT.EXE


Ton driver modem ADSL.

C:PROGRAM FILESZONE LABSZONEALARMZLCLIENT.EXE
C:PROGRAM FILESKASPERSKY LABKASPERSKY ANTI-VIRUS PERSONALKAV.EXE
C:WINDOWSLOADQM.EXE


Tout est normal ici : ZoneAlarm, KAV, MSN Messenger.

C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMUSBMONIT.EXE
C:WINDOWSSYSTEMCTHELPER.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMWMIEXE.EXE

C:PROGRAM FILESFICHIERS COMMUNSREALUPDATE_OBREALSCHED.EXE
C:PROGRAM FILESFICHIERS COMMUNSREALUPDATE_OBREALEVENT.EXE


N'oublie pas d'interdire l'accès de ces programmes à Internet. Ce sont
de vrais spywares...

C:PROGRAM FILESINTERNET EXPLORERIEXPLORE.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE


Normal.

C:WINDOWSSYSTEMPSTORES.EXE


Vérifie celui-là...

C:PROGRAM FILESMSN MESSENGERMSNMSGR.EXE


MSN Messenger...

C:PROGRAM FILESOE-QUOTEFIXOEQUOTEFIX.EXE


Vérifie celui-là. Normalement c'est un bugfix pour OE, mais bon. Au
passage, tu devrais abandonner Outlook Express. C'est une passoire à
virus et question fonctionnalités ce n'est pas ce qu'il y a de mieux.
Prends Mozilla Thunderbird 0.6 disponible sur http://www.mozilla-europe.org.

C:PROGRAM FILESINTERNET EXPLORERIEXPLORE.EXE
D:TéLéCHARGEMENTS DHIJACKTHIS.EXE


Normal

Après c'est la base de registres...

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page > http://www.wanadoo.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page > R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
Page de démarrage Internet Explorer, plus qq paramètres que je ne

connais pas.

Liens
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program
filesgooglegoogletoolbar2.dll


Tiens, t'as la Googlebar... ;-)

O2 - BHO: (no name) - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM
FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX


Mets à jour ton Acrobat Reader : cette version a une faille de sécurité,
dont je ne connais plus l'effet. Tout du moins un document PDF mal formé
peut planter ton programme.
Télécharge Adobe Reader 6.0...

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll


Google Toolbar...

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSYSTEMMSDXM.OCX


Connais pas celui-là. Probablement une barre d'outils d'Internet
Explorer. Vérifie-le...

O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme


Tout ça est normal.

O4 - HKLM..Run: [GSICONEXE] GSICON.EXE


A vérifier. (cf. ci-dessus)

O4 - HKLM..Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM..Run: [Zone Labs Client]
C:PROGRA~1ZONELA~1ZONEAL~1zlclient.exe
O4 - HKLM..Run: [KAVPersonal50] C:Program FilesKaspersky LabKaspersky
Anti-Virus Personalkav.exe /minimize
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [LoadQM] loadqm.exe


Normal.

O4 - HKLM..Run: [CriticalUpdate] C:WINDOWSSYSTEMwucrtupd.exe -startup


Celui-là semble louche : Win98 n'a pas de chargeur automatique des MAJ
de sécurité. A vérifier.

O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [Gene USB Monitor] C:WINDOWSSYSTEMUSBMonit.exe
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE


Normal.

O4 - HKLM..Run: [Jet Detection] "C:Program
FilesCreativeSBLivePROGRAMADGJDet.exe"
O4 - HKLM..Run: [QuickTime Task]
"C:WINDOWSSYSTEMQTTASK.EXE" -atboottime


Normal... Quoique si QuickTime contient des spywares (c'est le cas de
RealPlayer) j'enlèverais cette clef de la BDR.

O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot


Celui-là je le désactiverais...

O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [TrueVector]
C:WINDOWSSYSTEMZONELABSVSMON.EXE -service
O4 - HKLM..RunServices: [kavsvc] C:Program FilesKaspersky LabKaspersky
Anti-Virus Personalkavsvc.exe
O4 - HKLM..RunServices: [DkService] C:Program FilesExecutive
SoftwareDiskeeperLiteDkService.exe
O8 - Extra context menu item: &Google Search - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:PROGRAM
FILESGOOGLEGOOGLETOOLBAR2.DLL/cmbacklinks.html


Normal.

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:PROGRAM
FILESFLASHGETjc_link.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet -
C:PROGRAM FILESFLASHGETjc_all.htm


Probablement un gestionnaire de téléchargement bourré de spywares !
Passe un coup d'Ad-aware ou de Spybot pour t'en assurer. Tous deux sont
dispo sur http://www.telecharger.com

O8 - Extra context menu item: Traduire cette page -
C:WINDOWSwebpowertoy.htm


Normal.

O8 - Extra context menu item: Download All by JetCar - C:PROGRAM
FILESJETCARJETCARjc_all.htm
O8 - Extra context menu item: Download using JetCar - C:PROGRAM
FILESJETCARJETCARjc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)


Méfiance. Vérifie tout ça avec un anti-spyware (Ad-aware ou Spybot)

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) -
http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {BA549C46-AD38-11D7-A476-00D0590EC9DE} (SiS_OCX98 Control) -
http://www.sis.com/support/chipdetect/SiSAutodetect98.cab


Les drivers de ton chipset.

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38125.0971180556
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software
AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software
AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update
Installation Engine) -
http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab



RAS là-dessus.

@+, "-".

Avatar
Danyd

O4 - HKLM..Run: [CriticalUpdate] C:WINDOWSSYSTEMwucrtupd.exe
-startup



Celui-là semble louche : Win98 n'a pas de chargeur automatique des MAJ
de sécurité. A vérifier.

Celui-là je l'ai eu : à virer. Regarde dans l'historique de ZA, il doit

demander à sortir régulièrement (chez moi, c'était toutes les 5 mn).
Jette un oeil dans tâches planifiées, il doit certaimement y être aussi.

--


Avatar
joke0
Salut,

-:
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE


Tu ferais bien de vérifier ce que sont vraiment ces deux
processus. P-e que c'est ma mémoire qui flanche, mais j'ai en
particulier un gros doute sur le second.


Ce sont bien des process normaux :-)
TAPISRV = Telephony API Server

C:WINDOWSSYSTEMGSICON.EXE


Celui-là est p-e louche...


Non, c'est normal en ADSL:
http://www.commentcamarche.net/processus/gsicon-exe.php3

C:WINDOWSSYSTEMPSTORES.EXE


Vérifie celui-là...


C'est normal :)

C:PROGRAM FILESOE-QUOTEFIXOEQUOTEFIX.EXE


Vérifie celui-là. Normalement c'est un bugfix pour OE, mais
bon.


T'es parano ;D

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467}
- C:WINDOWSSYSTEMMSDXM.OCX


Connais pas celui-là. Probablement une barre d'outils
d'Internet Explorer. Vérifie-le...


C'est tout ce qu'il y a de plus normal.

O4 - HKLM..Run: [CriticalUpdate]
C:WINDOWSSYSTEMwucrtupd.exe -startup


Celui-là semble louche : Win98 n'a pas de chargeur automatique
des MAJ de sécurité. A vérifier.


Si si :P

O8 - Extra context menu item: Tout télécharger en utilisant
FlashGet - C:PROGRAM FILESFLASHGETjc_all.htm


Probablement un gestionnaire de téléchargement bourré de
spywares !


Passer un coup de Spybot ou ad-aware pour la forme. C'est celui
que j'utilise en ce moment, il est pas mal du tout.

--
joke0


Avatar
Bertrand M.
merci à tous.


Bertrand M.