Rapport hijackthis

[le vieux]

Bonjour

 

Petit résumé pour expliquer la présence de ce rapport:

-Suite à des problèmes de connections au net et après plusieurs plusieurs tentatives, la question d'une "infection" se pose:

 

ci-dessous le lien vers le forums internet et réseaux

 

premier sujet/ problèmes de connection internet

 

Pour info j'ai fait: Avast,spybot,adaware,A-squared free,Avg anti spy. + scan en linge panda, secuser et Kaspersky

 

Le résultat de panda (seul à trouver qqch) à l'instant: adware/windowenhancer

Je vais voir ce pas ce que c'est.

 

Merci

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:14:07, on 06/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\aswUpdSv.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\a2free\a-squared Free\a2service.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\System32\Drivers\WTSRV.EXE

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\DOCUME~1\cedric\MESDOC~1\divers\prgm\avast\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\avg antispy\AVG Anti-Spyware 7.5\guard.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\maxthon\Maxthon\Maxthon.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\cedric\Mes documents\divers\prgm\hijackthis\2\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\DOCUME~1\cedric\MESDOC~1\divers\prgm\avast\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings\cedric\Mes documents\divers\prgm\avg antispy\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O15 - Trusted Zone: http://www.pandasoftware.com

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Documents and Settings\cedric\Mes documents\divers\prgm\a2free\a-squared Free\a2service.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Documents and Settings\cedric\Mes documents\divers\prgm\avast\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Documents and Settings\cedric\Mes documents\divers\prgm\avg antispy\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Documents and Settings\cedric\Mes documents\divers\prgm\Diskeeper Lite\DKService.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE

 

--

End of file - 6587 bytes

[pear]

Bonsour,

 

Désactivez avast.

 

Télécharger MSNFix.zip (de !aur3n7) sur le bureau.

http://sosvirus.changelog.fr/MSNFix.zip

* Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.

* Exécuter l'option R.

* Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

* Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

[le vieux]

Bonsour,

 

Désactivez avast.

 

Télécharger MSNFix.zip (de !aur3n7) sur le bureau.

http://sosvirus.changelog.fr/MSNFix.zip

* Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.

* Exécuter l'option R.

* Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

* Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

 

 

merci pour ta réponse

 

J'ai fais le teste, a priori pas de problèmes. Je met le rapport au cas ou.

 

MSNFix 1.654

 

C:\Documents and Settings\cedric\Mes documents\Nouveau dossier\MSNFix

Fix exécuté le 06/02/2008 - 21:47:48,70 By cedric

mode normal

 

************************ Recherche les fichiers présents

 

Aucun Fichier trouvé

 

************************ Recherche les dossiers présents

 

... C:\Temp\

 

 

 

 

************************ Suppression des fichiers

 

 

 

************************ Suppression des dossiers

 

.. OK ... C:\Temp\

 

 

************************ Nettoyage du registre

 

 

 

************************ Fichiers suspects

 

Aucun Fichier trouvé

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 06022008_21492056.zip

 

 

Information ...... Information ...... Information ......

 

/!\ /!\ MSNFix n'est pas affilié a livekill CleanMessenger /!\ /!\

 

Ce pseudo antivirus copie les bases de MSNFix pour se tenir a jour

 

 

/!\ /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\ /!\

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

[pear]

Bonjour,

 

C'est curieux, il semble qu' Avast fasse problème.

Pour en être assuré, rechargez le et relancez MsnFix

Postez le rapport.

 

A propos d'Avast:

http://forum.malekal.com/ftopic3528.php

 

Télécharger Antivir ( http://www.free-av.com ).

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

--- Ce tutorial permet de le paramétrer aisément

 

Désactivez votre antivirus actuel

 

Redémarrez en mode sans échec.

 

Lancez le scan

 

Postez le rapport

[Pang]

Bonjour,

 

je me permet d'intervenir dans ce sujet, puisque je suis le topic de le vieux sur le forum internet&réseaux.

 

Pour rappel, les problèmes à résoudre :

Dans les 2 cas ,si je veux faire une defrag du DD il me dit que c'est impossible car un CHKDSK est en cours!

Si je fais une "vérification du volume" il ne finalise pas.

 

Spybot me dit que orun32.ini est endommagé ou illisible (de plus il trouve 3 entrées ANTI-LEECH=A supprimer???)

Ce fichier (après recherche sur Google) semble lié à "Step-by-Step Interactive Training" de windows. (que je n'utilise pas)...

 

Vraisemblablement, ce PC n'est pas infecté.

Nous n'avons pas desinstaller step-by-step- interactive qui de plus est à jour MS07 005

 

Pear : est-ce que le fait d'utiliser plusieurs couches de solutions de sécurités ne pourrait pas.... gêner la lecture de certains fichiers ?

[pear]

Bonjour Pang,

 

est-ce que le fait d'utiliser plusieurs couches de solutions de sécurités ne pourrait pas.... gêner la lecture de certains fichiers

 

Incontestablement.

Il ne faut qu'un antivirus actif, un antispyware actif.

 

C'espeut-être pour cela que les outils dont je dispose m'indiquent un problème avec Avast.

Faites le désactiver.

De toutes façon, il n'est plus aussi efficace qu'à ses débuts..

Quant à Symantec , bien que relativement efficace, il est lourd et intrusif.

 

Dans les 2 cas ,si je veux faire une defrag du DD il me dit que c'est impossible car un CHKDSK est en cours!

Si je fais une "vérification du volume" il ne finalise pas.

Aller la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager

 

Vérifier que la valeur Chaîne Multiple nommée BootExecute existe et

contient au moins la donnée de valeur autocheck autochk * correctement saisie,

avec un espace entre le k et le *et rien d'autre .

Sinon supprimer tout ce qui suit le *.

En cas d'absence de la valeur, la recréer.

 

Ou, si Le Vieux peut entrer en console de récupération,qu'il y fasse Chkdsk /p/r

 

Si tout cela échoue:

Démarrer->Exécuter->Cmd

Dans la fenêtre qui s'ouvre, taper chkntfs /D

Ceci rétablit, en principe, la situation par défaut.

[le vieux]

bonsoir a tous

 

Déjà merci pour toutes ces infos.

 

Sauf erreur de ma part je n'ai qu'un antivirus en temps normale, Avast.

Norton (symantec) c'est mon pare-feu.

 

Bref...sur vos conseil je viens de changer avast pour antivir et je vais tester tout ça en mode sans échec (si j'ai accés)

 

Pour ce qui est de la clé, ca me dépasse un peu, je n'ai pas trouver

 

"Vérifier que la valeur Chaîne Multiple nommée BootExecute existe et

contient au moins la donnée de valeur autocheck autochk * correctement saisie"

 

J'ai fait "regedit" suivit le "chemin", après cession manager il reste pas mal de dossier aucun ne contient ce que tu décrit

Suis pas certain de bien faire sur ce coup.

 

je vais deja faire tout ce que je comprend et si ma connections est ok je repasse ici

 

Modifié le 9 février 2008 par le vieux

[pear]

Bonsoir,

 

 

Si vous ne voyez pas BootExecute à l'endroit indiqué, vous faites ceci:

Dans Regedit, developpez comme indiqué

Clic sur Edition->Nouveau->Valeur de chaines multiples

et vous indiquez dans la fenêtre qui s'ouvre

autocheck autochk * correctement saisie,

avec un espace entre le k et le *et rien d'autre .

[le vieux]

Bonsoir,

Si vous ne voyez pas BootExecute à l'endroit indiqué, vous faites ceci:

Dans Regedit, developpez comme indiqué

Clic sur Edition->Nouveau->Valeur de chaines multiples

et vous indiquez dans la fenêtre qui s'ouvre

autocheck autochk * correctement saisie,

avec un espace entre le k et le *et rien d'autre .

 

Bonjour,

 

et merci pour le complément d'infos. Je ne savais pas comment faire pour créer une valeur (si c'est comme ça que l'ont dit). Je vais faire çà de suite.

 

Je suis passé sous antivir et j'ai fais un scan en mode sans echec, resultat: 1 virus mit en quarantaine (W95/blumblebee1738)

 

La connections c'est faites sans problèmes si ce n'est la tentative de Chkdsk au démarrage.

 

je repasse dés que possible