Votre question

log hijackthis a analyser

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juin 2006 02:15:14

j'ai été infecté par un virus :
ca venait de emule je savais pas que cetait possible
c quoi ce virus?

Autres pages sur : log hijackthis analyser

9 Juin 2006 08:19:16

Salut, bah tu as chopé un beau et méchant virus ,ce virus est connu de McAfee sous le nom de W32/Gael.worm.a -> http://vil.nai.com/vil/content/v_134857.htm,
Si tu as besoin d'effectuer des recherches, tu as besoin de connaître ses alias :
- W32/Gael.worm.a
- W32/Gael
- W32/Gael.A
- Win32.Gael.3666
- Win32/Gael
- Win32/Gaelicum.A

- Virus.Win32.Tenga.A (AVP)
- Win32/Tenga.A
- Tenga
- Virus.Win32.Tenga.a
- W32/Tenga-A
- Win32/Tenga.A
- Tenga.A

- W32.Licum (Symantec)

- GenPack:Backdoor.Robobot.AF
- Trojan.Robobot.Ah

- W32/Stanit

Virus Characteristics:

This detection covers a parasitic worm virus that spreads to both host executables as well as over accessible systems on a network. The worm also downloads and executes other files.

When run, the worm infects .EXE files on the local system, appending itself to host files. 10 threads are created to search for infectable computers on the Internet, SYN packets are sent to random IP addresses on TCP 139 (netbios). The worm then attempts to connect to responding systems via the IPC$ and open shares to parasitically infect files remotely.

The worm also attempts to download and execute a file name dl.exe from utenti.lycos.it . At the time of this writing the site was not responding. However, the virus was known to fetch a downloader trojan, Downloader-ACX, which downloaded two other files:

* GAELICUM.EXE - dropper of W32/Gael.worm
* CBACK.EXE - a new remote access trojan, BackDoor-CTM


- Excessive netbios traffic emanating from infected system

The virus does not create any registry keys or in any other way "install" itself to automatically start on system reboot.

Method Of Infection
This virus spreads via accessible network shares and by parasitically infecting existng executable files.

Removal Instructions
All Users :
Use current engine and DAT files for detection and removal.

Close the shares created by this threat:

* From the desktop, double-click My Computer
* Right-click on the C: drive and choose Sharing...
* Click the Not Shared button (or enter in the desired settings) and click OK

Additional Windows ME/XP removal considerations

Egalement, quelques infos sur cette page d'Enciclopedia Virus http://www.enciclopedia-virus.com/virus/vervirus.php?id...

Virus que infecta todos los ejecutables de Windows, en todas las unidades mapeadas de discos del equipo infectado, a excepción de la unidad A.


Cuando se ejecuta intenta infectar ejecutables en recursos compartidos de redes.

También intenta infectar archivos via NetBIOS, y direcciones IP al azar, a través del puerto TCP 139.

Utiliza la vulnerabilidad en el componente Remote Procedure Call (RPC), el cuál permite el intercambio de información entre equipos en Windows NT 4.0, 2000 y XP.

Esta vulnerabilidad fue corregida por Microsoft en el boletín de seguridad MS03-026 y posteriores:

Vulnerabilidad RPC/DCOM: MS03-026

El virus intenta descargar y ejecutar un archivo desde un servidor remoto, este es detectado por como Win32/Small.GL.

También puede recibir líneas de comandos de un atacante remoto, desde un servidor predefinido.

Finalmente, también intenta desactivar las protecciones de archivos de Windows.


1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.

et le troisième document sur le sujet : http://www.pcreview.co.uk/forums/thread-2022008-1.php.

Scott Bolander

Posts: n/a

Default New virus - VERY DANGEROUS!
Nod32 does not know what it is, but sees it as a "Unknown win32 virus"
and it still stops it.

This virus replaces nearly ALL of the exe files on a machine with virus
infected files. Most AV products do not detect it; McAfee discovered it

This ended up on three machines yesterday at a client of mine; I had not
been out in quite a while (he is incredibly cheap) so all his stuff was
out of date or broken. His Norton AV would not have caught it anyway.


AntiVir 07.14.2005 W32/Stanit
AVG 718 07.14.2005 Win32/Gaelicum.A
Avira 07.14.2005 W32/Stanit
BitDefender 7.0 07.14.2005 no virus found
CAT-QuickHeal 7.03 07.14.2005 no virus found
ClamAV devel-20050501 07.14.2005 no virus found
DrWeb 4.32b 07.14.2005 Win32.Gael.3666
eTrust-Iris 07.13.2005 no virus found
eTrust-Vet 07.14.2005 no virus found
Fortinet 07.14.2005 suspicious
F-Prot 3.16c 07.14.2005 could be infected with an unknown virus
Ikarus 2.32 07.14.2005 no virus found
Kaspersky 07.14.2005 Virus.Win32.Tenga.a
McAfee 4535 07.14.2005 W32/Gael
NOD32v2 1.1168 07.14.2005 probably unknown WIN32 virus
Norman 5.70.10 07.14.2005 no virus found
Panda 8.02.00 07.14.2005 no virus found
Sybari 7.5.1314 07.14.2005 W32/Gael
Symantec 8.0 07.13.2005 no virus found
TheHacker 07.13.2005 no virus found
VBA32 3.10.4 07.14.2005 no virus found

Voilà et encore dsl pour la longueur , si tu comprends pas utilise un traducteur.
9 Juin 2006 11:15:06

si possible essaie de ne pas faire des copier coller de site surtout quand c pas en francais.

Poste le log Hijackthis:

Telecharge hijackthis sur ce site:
Creer un dossier a son nom , dezip le dedans.
Puis lance hijackthis , appuie sur do a system scan and save a logfile.
La un fichier bloc note va s ouvrir selectionne tout sont contenu et post le .
Contenus similaires
9 Juin 2006 12:23:57

si tu pouvais me traduire ca ca serait sympa

en attendant voila le log :

Logfile of HijackThis v1.99.1
Scan saved at 12:22:34, on 09/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\mcafee.com\agent\mcdetect.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Tom\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsma...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

9 Juin 2006 12:58:22

HijackThis n'est pas un antivirus !!!

Fais un scan en ligne chez Panda et colle nous le rapport ici
9 Juin 2006 13:09:31

:p anolol: :p anolol: :p anolol:

je sais bien le titre c'est virus/(donc je poste un log) hijackthis :
ca va mieux si je le fait comme ca je vais essayer de faire ce qure tu dis
9 Juin 2006 13:24:04

Incident Statut Analyse

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Bob\Application Data\Mozilla\Firefox\Profiles\5z3ly8f8.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Bob\Application Data\Mozilla\Firefox\Profiles\5z3ly8f8.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@bluestreak[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@doubleclick[1].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@fe.lea.lycos[1].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@realmedia[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Charlotte\Cookies\charlotte@xiti[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Charlotte\Local Settings\Temp\Cookies\charlotte@xiti[1].txt
9 Juin 2006 13:31:32

ps c'est le scan de C:
9 Juin 2006 14:46:14

aidez moi please
mon pc est super lent et je sais pas ce que c'est
9 Juin 2006 17:30:46

:snif: :snif: :snif: :snif: :snif: :snif: :snif: :snif: :snif:
a b 8 Sécurité
9 Juin 2006 17:39:36

Rien d'infectieux dans tes rapports.
9 Juin 2006 18:23:51

Tu sais ce qui pourrait causer la lenteur de mon PC ?
j'ai fait une defragmentation dans la semaine j'ai utilisé ccleaner mais rien.
ca arrive comme ca assez souvent il met une heure a faire quoi que ce soit
a b 8 Sécurité
9 Juin 2006 18:32:17

Va poser ta question dans la section Hardware du forum.
18 Juin 2006 14:51:49

18 Juin 2006 14:53:31

18 Juin 2006 20:23:33

j'ai trouvé deux petit problème sur ton rapport niko_
si le porgramme absolute poker te semble inconnu supprime ses deux ligne:

O9 - Extra button: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk

O9 - Extra 'Tools' menuitem: Absolute Poker - {EFFF8D47-D060-4108-B761-E8EC86622E56} - C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Absolute Poker\Absolute Poker.lnk
18 Juin 2006 20:30:11

pour toi aussi don-waguy j'ai trouvé quelque petit problème.

supprime ces lignes:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp

O15 - Trusted Zone: *.elitemediagroup.net

O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version6/Applet/vchatsign.cab

O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
18 Juin 2006 20:37:32

'Core un log évaluer avec hijackthis.de :-o
18 Juin 2006 21:27:43

pourqoi il y a un problème?

ce site m'a aider a resoudre des problème que des gens n'on pas pu m'ader sur se site.

est se que je suis tomber sur les mauvaise personne!!!
19 Juin 2006 09:48:42

Il ne faut pas accorder une confiance aveugle à HijackThis.de.

Ce site est "bien" pour une petite partie d'un log Hijack mais pas pour la totalité. Je n'ai pas encore regardé le log que tu as analysé avec HijackThis.de donc je ne peux encore rien dire.

Mais ne recopié pas bêtement le résultat se trouvant sur HijackThis.de car il n'est pas fiable a 100%.

Et pour Alcapone9, soit tu n'as pas assez attendu soit oui tu n'es pas tombé sur les bonne personnes.
19 Juin 2006 09:52:52

Sinon pour toi niko_, ton log antivirus est clean donc c'est que ton virus n'est aparement plus là.

Essaye ce qui suit et si ça ne règle pas ton problème va poster dans le Hardware comme te l'a conseillé AngelDark :

Télécharge Ewido mets le à jour et fais un scan en mode sans échec (tapote la touche F8 au démarage de ton ordinateur). Redémarre normalement et post le log.Va voir ce topic explicatif pour t'aider à l'utiliser et à poster le log.
19 Juin 2006 13:03:30

19 Juin 2006 13:15:04

19 Juin 2006 13:18:43

pour don-waguy
inutile de toucher à la ligne 016

faire ça

SmitfraudFix : :

ouvrir SmitfraudFix, en dézippant toute l’archive sur le bureau
Puis double clic sur SmitfraudFix.cmd puis choisir l’option 1
Sauver le rapport.

Redémarrer en mode sans échec. Attention, pas accès à internet dans ce mode
Pour demarrage sans échec : à la mise en route de l’ordi :Tapoter sur la touche F8 ou F5. Puis
En utilisant les touches du curseur, sélectionner le mode sans échec et Entrée.

Relancer SmitfraudFix
choisir cette fois l’option 2 et oui à tout.

le lancer

Ewido ( gratuit 14 j) à :
le mettre à jour

Scanner ( scan complet, c’est assez long) et nettoyer tout
copier le rapport

poster le rapport + un nouveau hijack
19 Juin 2006 13:23:28

19 Juin 2006 13:24:52

19 Juin 2006 13:25:39

continu la procédure en sans échec et option 2 pour éliminer l'infection smitfraud
a b 8 Sécurité
23 Juin 2006 17:02:39

Fixe ces deux lignes:

O4 - HKLM\..\RunServices: [Network Host Service] qkgpibf32.exe
O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

Supprime ces fichiers
(surement dans C:\Windows ou dans le System32)

Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS