Forums Zebulon.fr: conseil analyse de mon rapport hidjackthis - Forums Zebulon.fr

Tout d'abord bonjour à tous !
Nouveau venu, je viens vous demander un peu d'aide pour l'analyse de mon rapport hidjackthis à savoir s'il y des choses un peu 'louche" dans mon systeme car depuis quelque temps, mon PC est plus lent au demarrage et me semble "un peu sale" concernant son contenu....
Serait-il possible d'avoir des conseil sur le nettoyage de celui-ci afin de lui redonner vitalité ?

Voici mon rapport :

Logfile of HijackThis v1.99.1
Scan saved at 09:26:36, on 04/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\SYSTEM32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\windows\system32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\windows\mHotkey.exe
C:\windows\system32\rundll32.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\PROGRA~1\RAMBOO~1\RAMBOO~1.EXE
C:\windows\System32\svchost.exe
C:\windows\DitExp.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: (no name) - {F9443A0B-6BFD-11D7-ACD0-00B0D094B576} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [OD] "C:\Program Files\Softwin\BitDefender9\od.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~1\RAMBOO~1\RAMBOO~1.EXE
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...kr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.mi...ata/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.co...ad/MsnPUpld.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.gpcservic...bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.girafoto....geUploader3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - (no file)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - (no file)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci d'avance

Bonjour et bienvenu sur le forum sécurité de zebulon,

Je confirme, tu es effectivement infecté.
Je remarque par ailleurs que tu as changé d'antivirus en remplaçant Norton par Bitdefender.
Mais Norton a laissé des traces. Nous allons également nous en occuper.

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet...rts/ecleane.htm

* Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur Update Now,
attend la fin de cette mise à jour,
puis ferme le programme.

2/ Redémarre en mode sans échec.
(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

3/ Vérifie d'avoir accès à tous les fichiers

Citation

4/Dans le menu Demarrer>Executer >tape: services.msc

Recherche les services avec cette orthographe exacte:

Norton Unerase Protection
ScriptBlocking Service

Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: (no name) - {F9443A0B-6BFD-11D7-ACD0-00B0D094B576} - (no file)

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zon...kr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.mi...ata/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.co...ad/MsnPUpld.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.gpcservic...bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zon...nt.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.girafoto....geUploader3.cab

O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - (no file)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - (no file)

Les 2 lignes 023 ne devraient plus apparaitre du fait que l'on a stoppé les services en question

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\Program Files\Norton AntiVirus<--- supprime tout le dossier

-wkssvr.exe
ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

7/ Nettoyage dans la base de registre:

Démarrer -> Exécuter -> tape regedit et va successivement :

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[Microsoft Updates] wkssvr.exe<--- supprime cette valeur si présente

Ferme ensuite le registre.

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

9/ Relance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.

A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.
Redémarre en mode normal.
poste le rapport dans ta réponse accompagné d'un nouveau rapport hijackthis.

Ce message a été modifié par Jack_Burton - 04 août 2006 - 08:57 .

Merci d'avoir répondu !
je m'emploi à effectuer toute tes instructions et poste le resultat ensuite.....

Allons bon....

J'ai bien téléchargé easycleaner et la version d'evalution d'EWIDO mais au moment de redemarrer mon PC en mode sans echec, je tape : "F8" puis "mode sans echec" enfin "entrer" et......mon PC commence à charger et s'arret sur un ecran noir avec un curseur qui clignotte et... c'est tout !! j'ai bien attendu 10 bonne minute pensant que le chargement etait plus long mais rien à faire : completement bloqué !!! obligé d'eteindre violamment le PC pour pouvoir redemarrer....
Que ce passe t'il? puis-je effectuer tout les autres manipulations en mode normal ? pourquoi n'ai je pas acces au mode sans echec ?

Merci encore de ton aide.....help !!!!

Re bonjour,

Tu ne "tapotes" peut etre pas sur la bonne touche. La touche habituelle pour lancer le mode sans échec est F8 (ou F5). Mais il peut y en avoir d'autres selon le modele de la carte mere ou d'un PC de marque.

Tu vas lancer le mode sans échec d'une autre facon :

1/ -Fermez tous les programmes ouverts.

2/ -Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.

3/ -Comme illustré ci-dessous, tapez msconfig puis cliquez sur OK.


4/ -L'utilitaire de configuration système, apparaît.Sélectionnez l'option /SAFEBOOT, puis cliquez sur OK.



5/ -Vous voyez alors s'afficher l'invite pour redémarrer l'ordinateur. Cliquez sur Redémarrer


L'ordinateur redémarre en mode sans échec. (Ceci peut prendre plusieurs minutes.)

6/ -Procédez au dépannage pour lequel vous êtes passé en mode sans échec.

7/ -Lorsque vous avez terminé votre dépannage en mode sans échec, répétez les étapes 1 à 5, mais à l'étape 4, désélectionnez /SAFEBOOT.

8/ -Fermez tous les programmes puis redémarrez l'ordinateur comme vous le feriez d'habitude.

source : www.sur-la-toile.com

Ce message a été modifié par Jack_Burton - 04 août 2006 - 09:45 .

Trés bien !
j'essai de suite....merci

Aie ca s'annonce encore mal je n'ai pas l'onglet BOOT.INI ???

Seulement : General/SYSTEM.INI/WIN.INI/Services/Démarrage

Encore désolé pour ma naïveté mais j'apprecie enormement ton aide.

p.s : j'aurais voulu faire un "print ecran" mais je n'arrive pas é l'inserer dans mon texte....

reremerci..

Re bonjour,

Il est possible que ton fichier boot.ini soit manquant ou ait été renommé. Nous allons vérifier cela :

1/ Vérifie d'avoir accès à tous les fichiers

Citation

2/ Le fichier c:\boot.ini est-il présent? Si ce n'est pas le cas, as tu un fichier boot.back ou un nom de fichier qui s'y rapproche?

Edit : je dois retourner en cours J'essaye de revenir en soirée. Si je ne peux pas, d'autres conseillers ou juniors-sécu s'occuperont de toi. Tu seras entre de bonnes mains. Il y a une tres bonne équipe sur ce forum

Ce message a été modifié par Jack_Burton - 04 août 2006 - 10:31 .

Merci Jack-burton !

Aprés quelques recherches, il me manque bien le fichier BOOT.INI ( d'ailleur au lancement du PC il me le marque et demarrage sur C....

J'ai lu qu'on pouvais reparer ce probleme en reparant windows XP à l'aide du CD windows, cela sans perdre les fichiers important de son PC....

j'essaierai ce soir, dans la soirée en vous donnant de mes nouvelles car maintenant je dois aller bosser.

Si quelque peut confirmer mes dires dans la journée avant que je fasse une boulette ce soir !!!

Merci à tous

Re bonjour,

Je profite d'une petite pause pour te répondre.

Citation

Tu aurais dû me le dire dès ton 1er post, nous aurions gagné du temps

Citation

Citation

Il existe une autre solution plus rapide pour rétablir ton fichier boot.ini.

1/ Vérifie d'avoir accès à tous les fichiers

Citation

2/ Rends toi dans ce dossier c:/Windows/pss.
Tu devrais trouver dans ce dossier un fichier boot.ini.backup.

Fais un copier/coller de ce fichier sur le bureau par exemple, puis renomme le en boot.ini et place le à la racine du disque c'est à dire dans c:\.

Ce message a été modifié par Jack_Burton - 04 août 2006 - 12:45 .