Analyse raport HijackThis [resolu]

wawazedor · le 10 septembre 2006

Voila les logs !

------------------------------------------------------------------------------------

1 SmitFraudFix

SmitFraudFix v2.85

Rapport fait à 11:35:03,35, 10/09/2006

Executé à partir de C:\Documents and Settings\Zedor\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\IntCodec\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

-------------------------------------------------------------------------------------

2. Nouvel Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 11:54:07, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe

C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\PMSveH.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\PMHandler.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\wawazedor.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TPWAUDAP] C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe

O4 - HKLM\..\Run: [PMHandler] C:\WINDOWS\SYSTEM32\PMHandler.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [iSUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "c:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/fr/fr

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PMSveH - Lenovo - C:\WINDOWS\system32\PMSveH.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------------------------------------------

wawazedor · le 10 septembre 2006

VIRUS TOTAL 1

Complete scanning result of "57950CE6E0.sys", received in VirusTotal at 09.10.2006, 11:59:11 (CET).

Antivirus Version Update Result

AntiVir 7.1.1.16 09.09.2006 no virus found

Authentium 4.93.8 09.09.2006 no virus found

Avast 4.7.844.0 09.08.2006 no virus found

AVG 386 09.08.2006 no virus found

BitDefender 7.2 09.10.2006 no virus found

CAT-QuickHeal 8.00 09.09.2006 no virus found

ClamAV devel-20060426 09.10.2006 no virus found

DrWeb 4.33 09.10.2006 no virus found

eTrust-InoculateIT 23.72.120 09.08.2006 no virus found

eTrust-Vet 30.3.3070 09.09.2006 no virus found

Ewido 4.0 09.09.2006 no virus found

Fortinet 2.77.0.0 09.09.2006 no virus found

F-Prot 3.16f 09.09.2006 no virus found

F-Prot4 4.2.1.29 09.09.2006 no virus found

Ikarus 0.2.65.0 09.08.2006 no virus found

Kaspersky 4.0.2.24 09.10.2006 no virus found

McAfee 4848 09.08.2006 no virus found

Microsoft 1.1560 09.09.2006 no virus found

NOD32v2 1.1746 09.08.2006 no virus found

Norman 5.90.23 09.08.2006 no virus found

Panda 9.0.0.4 09.09.2006 no virus found

Sophos 4.09.0 09.10.2006 no virus found

Symantec 8.0 09.10.2006 no virus found

TheHacker 5.9.8.208 09.08.2006 no virus found

UNA 1.83 09.08.2006 no virus found

VBA32 3.11.1 09.10.2006 no virus found

VirusBuster 4.3.7:9 09.09.2006 no virus found

Aditional Information

File size: 56 bytes

MD5: 5f6966100f03df3ba2034fcbaa40bb96

SHA1: 4d11c4625f273e0688dad9601f5ecd97981b934b

--------------------------------------------------------------------------------------------------------

VIRUSTOTAL 2

Complete scanning result of "cd.exe", received in VirusTotal at 09.10.2006, 12:12:03 (CET).

Antivirus Version Update Result

AntiVir 7.1.1.16 09.09.2006 no virus found

Authentium 4.93.8 09.09.2006 no virus found

Avast 4.7.844.0 09.08.2006 no virus found

AVG 386 09.08.2006 no virus found

BitDefender 7.2 09.10.2006 no virus found

CAT-QuickHeal 8.00 09.09.2006 no virus found

ClamAV devel-20060426 09.10.2006 no virus found

DrWeb 4.33 09.10.2006 no virus found

eTrust-InoculateIT 23.72.120 09.08.2006 no virus found

eTrust-Vet 30.3.3070 09.09.2006 no virus found

Ewido 4.0 09.09.2006 no virus found

Fortinet 2.77.0.0 09.09.2006 suspicious

F-Prot 3.16f 09.09.2006 Possibly a new variant of W32/Threat-IKNP-based!Maximus

Ikarus 0.2.65.0 09.08.2006 Backdoor.Win32.Hupigon.BV

Kaspersky 4.0.2.24 09.10.2006 no virus found

McAfee 4848 09.08.2006 no virus found

Microsoft 1.1560 09.09.2006 no virus found

NOD32v2 1.1746 09.08.2006 no virus found

Norman 5.90.23 09.08.2006 no virus found

Panda 9.0.0.4 09.09.2006 no virus found

Sophos 4.09.0 09.10.2006 no virus found

Symantec 8.0 09.10.2006 no virus found

TheHacker 5.9.8.208 09.08.2006 no virus found

UNA 1.83 09.08.2006 no virus found

VBA32 3.11.1 09.10.2006 no virus found

VirusBuster 4.3.7:9 09.09.2006 no virus found

Aditional Information

File size: 564736 bytes

MD5: 55d7d5f93bf9f4802771dd91d2f0d0d5

SHA1: 1a1b4ed80ce59c7ad385ca88f4ae905925ab2e04

packers: Packed

------------------------------------------------------------------------------------------------

Virustotal 3

Complete scanning result of "SET2D.tmp", received in VirusTotal at 09.10.2006, 12:21:20 (CET).

Antivirus Version Update Result

AntiVir 7.1.1.16 09.09.2006 no virus found

Authentium 4.93.8 09.09.2006 no virus found

Avast 4.7.844.0 09.08.2006 no virus found

AVG 386 09.08.2006 no virus found

BitDefender 7.2 09.10.2006 no virus found

CAT-QuickHeal 8.00 09.09.2006 no virus found

ClamAV devel-20060426 09.10.2006 no virus found

DrWeb 4.33 09.10.2006 no virus found

eTrust-InoculateIT 23.72.120 09.08.2006 no virus found

eTrust-Vet 30.3.3070 09.09.2006 no virus found

Ewido 4.0 09.09.2006 no virus found

Fortinet 2.77.0.0 09.09.2006 no virus found

F-Prot 3.16f 09.09.2006 no virus found

F-Prot4 4.2.1.29 09.09.2006 no virus found

Ikarus 0.2.65.0 09.08.2006 no virus found

Kaspersky 4.0.2.24 09.10.2006 no virus found

McAfee 4848 09.08.2006 no virus found

Microsoft 1.1560 09.09.2006 no virus found

NOD32v2 1.1746 09.08.2006 no virus found

Norman 5.90.23 09.08.2006 no virus found

Panda 9.0.0.4 09.09.2006 no virus found

Sophos 4.09.0 09.10.2006 no virus found

Symantec 8.0 09.10.2006 no virus found

TheHacker 5.9.8.208 09.08.2006 no virus found

UNA 1.83 09.08.2006 no virus found

VBA32 3.11.1 09.10.2006 no virus found

VirusBuster 4.3.7:9 09.09.2006 no virus found

Aditional Information

File size: 10475008 bytes

MD5: 346d08d6547d3a8a28aaea3df1318cb3

SHA1: e976042e09505711015ca06fab2d83528edd9c28

Bon apparament ya un fichier louche le cd.exe ... Je dois le supprimer ?

I stay tuned for new marvelous scan and log ! Thanks a lot Charles !

Modifié le 10 septembre 2006 par wawazedor

Thanos · le 10 septembre 2006

salut

ok merci pour les rapports! seul cd.exe est détecté comme malware ,mais ce n'est pas bien évident! aussi on va les renommer comme indiqué plus bas.

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

La procédure:

-Télécharge ATF Cleaner by Atribune sur ton bureau.

- Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

- Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

Étape 1:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 2:

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

-Ferme tous les programmes et clique sur "Fix Checked"

Étape 3:

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

*Supprime les fichiers en gras dans C:\WINDOWS\System:

C:\WINDOWS\System\winlogon.exe

C:\WINDOWS\System\regserv.exe

Note: fais bien attention au répertoire ou tu élimines ce fichier=>winlogon.exe!!! il ne faut surtout pas toucher à celui qui est présent dans le dossier C:\WINDOWS\System32

*Renomme les fichiers suivants:

pour cela, fait un clic droit sur chaque fichier et renomme le ainsi =>

C:\WINDOWS\system32\cd.exe en cd.old

C:\WINDOWS\System32\57950CE6E0.sys en 57950CE6E0.old

C:\WINDOWS\System32\SET2D.tmp en SET2D.old

* Vide la corbeille.

Étape 4:

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

-Coche la case suivante:"select all"

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

Étape 5:

Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

Étape 6:

Redémarre normalement et poste stp les rapports suivants:

-un nouveau rapport hijackthis.

-le rapport d'Ewido

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

@+

wawazedor · le 10 septembre 2006

Bonsoir

--------------------------------------------------------------------------------------------------------------

Log nouveau Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 19:26:26, on 10/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Lenovo\HOTKEY\TPHKMGR.exe

C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe