Rapport Hijackthis - VdL

VdeLab · le 13 septembre 2006

Bonjour,

c'est encore VdeLab...

C'était juste pour ajouter un comportement bizarre de mon PC, qui à chaque extinction, n'arrive pas à fermer des applis, probablement des virus, du coup je dois terminer l'applis à l'invite de XP..

Il s'agit de Brome.exe et Wina32s.exe.

J'ai vu que les deux étaient cités parmi les malwares, mais je suis surpris que avast+spybot+adware n'ai rien vu.. ni antivir...

Je vais essayer ewido , et tout ce que vous pourriez me conseiller pour cela...

Merci d'avance....

Modifié le 13 septembre 2006 par VdeLab

bruce lee · le 13 septembre 2006

Bonjour VdeLab et bienvenue sur zebulon

telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip

déconnecte toi du net et installe le.

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

VdeLab · le 13 septembre 2006

Bonjour Bruce, c'est fait...

en fait, je l'avais même posté hier, mais je ne sais pas pourquoi, ça n'a pas marché.

Depuis tout à l'heure, j'ai fait tourner avast au démarrage, et il a trouvé pas mal d'autres chose.

Voici le hijackthis que je viens de faire :

Logfile of HijackThis v1.99.1

Scan saved at 22:18:49, on 13/09/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avast46\aswUpdSv.exe

C:\Program Files\Avast46\ashServ.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Controle Parental\bin\optproxy.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\snmp.exe

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\System32\Fast.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Avast46\ashWebSv.exe

C:\Program Files\Avast46\ashMaiSv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\CL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\PROGRA~1\Avast46\ashDisp.exe

C:\WINDOWS\System32\taskswitch.exe

C:\WINDOWS\System32\devldr32.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\Utilitaires Audio\TotalRecorder\TotRecSched.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\WINDOWS\RUNDLL16.EXE

C:\WINDOWS\System32\brome.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\utilitaires PC\Copernic_desktop\Copernic Desktop Search\CopernicDesktopSearch.exe

C:\Program Files\utilitaires PC\cobian_bckup\CobBU.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\utilitaires PC\cobian_bckup\cobui.exe

C:\Program Files\Sony Handheld\HOTSYNC.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

E:\Utilitaires\clean_tweak\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.copernic.com/explorer17/?l=FRA&e=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {83B79436-C1A7-427B-B40D-689E9CC71FAE} - C:\PROGRA~1\UTILIT~3\COPERN~2\COPERN~1\COPERN~4.DLL

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Program Files\utilitaires PC\Copernic_desktop\Copernic Desktop Search\CopernicDesktopSearchIntegration974.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\CL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" /dontopenmycards

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast46\ashDisp.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Utilitaires Video_DVD\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [backgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Program Files\Utilitaires Audio\TotalRecorder\TotRecSched.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\RUNDLL16.EXE

O4 - HKLM\..\Run: [Windows+Services] c:\windows\printer\ntlm.exe

O4 - HKLM\..\Run: [DRam prosessor] brome.exe

O4 - HKLM\..\Run: [secure socket layer] wins32a.exe

O4 - HKLM\..\RunServices: [DRam prosessor] brome.exe

O4 - HKLM\..\RunServices: [secure socket layer] wins32a.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Program Files\utilitaires PC\Copernic_desktop\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray

O4 - HKCU\..\Run: [Cobian Backup 7] "C:\Program Files\utilitaires PC\cobian_bckup\CobBU.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Reminder.lnk = C:\Program Files\Jardinage 2\Reminder.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast46\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast46\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast46\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast46\ashWebSv.exe" /service (file missing)

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: wsaugt32 - Unknown owner - C:\WINDOWS\wsaugt32.exe (file missing)

bruce lee · le 14 septembre 2006

re,

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

3/

fais:

demarer executer services.msc repere wsaugt32

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\RUNDLL16.EXE

O4 - HKLM\..\Run: [Windows+Services] c:\windows\printer\ntlm.exe

O4 - HKLM\..\Run: [DRam prosessor] brome.exe

O4 - HKLM\..\Run: [secure socket layer] wins32a.exe

O4 - HKLM\..\RunServices: [DRam prosessor] brome.exe

O4 - HKLM\..\RunServices: [secure socket layer] wins32a.exe

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

6/supprime ce qui est en gras (attention a la syntaxe):

C:\WINDOWS\System32\ brome.exe<== le fichier

c:\windows\printer\ ntlm.exe<== le fichier

C:\WINDOWS\ RUNDLL16.EXE<== le fichier

7/

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées
et coche rechercher dans les fichiers et dossiers cachés.

recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:

wins32a.exe

vide ta corbeille.

8/ Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

9/redemarre en mode normal

10/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

bon courage, et si tu as la moindre question n'hesite surtout pas

@+

VdeLab · le 15 septembre 2006

Bonsoir Bruce_lee et merci de tous tes conseils.

J'ai bien effectué toutes les opérations que tu demandais.

J'ai posté plus bas les rapports ewido et hijack. Tout a l'air de bien marcher.

J'ai cependant une question de plus. J'ai mis Kerio il n'y a pas longtemps avec des règles de filtrage trouvées sur pas mal de site, et tout marche, SAUF Firefox!! Je ne sais pas pourquoi. Outlook, tout ça va bien.

Je t'ai mis ma config Kerio en xml, si tu vois où le bas blesse, ce serait super...

Comment puis te joindre le fichier??