Ordinateur infecté Analyse rapport Hijackthis

[geol]

Bonjour

me revoici après qq heures de travail. voici déjà la rapport de smitfraudfix que je viens de faire, car j'ai du passer plusieurs fois Antivir après avoir mis à jour Avg car pendant la connexion ça c'est vachement énnervé (pleinde trucs se sont mis en route ). Bon bref, le rapport :

SmitFraudFix v2.104

 

Rapport fait à 10:29:34,26, 05/10/2006

Executé à partir de C:\Documents and Settings\toi et moi\Bureau\smitfraudfix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDXP

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDXP\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDXP\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDXP\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\toi et moi

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\toi et moi\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TOIETM~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Bon je vais passer à la phase deux avec AFT-cleaner.

A bientôt, et merci encore

[geol]

Re

J'essaie de démarer en mode sans échec pour passer à la phase de nettoyage mais j'ai un probleme

Premièrement qd je choisi ma session, il m'indique "123 messages non lus" alors même que j'ai effacé tous mes mails et mieux encore que j'ai désinstallé Thunderbird !

Par ailleurs une fois ma session sélectionner, il finit le chargement, mais à par les 4 inscription "mode sans échec" dans chaque coin de l'écran, je n'ai rein d'autre de visible !

Que faire ?

[geol]

re

et lorsque je passe en session administrateur du mode sans échec, j'obtiens qq secondes le bureau avant qu'il ne disparaisse sous mes yeux !!!

une idée ?

bon en attedant des conseils je vais passer antivir à nouveau

[regis56]

Bonjour geol !

 

Bon si tu n'as pas accès au mode sans échec on va tenter ceci :

 

-Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

winupdates (désinstaller)

 

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip

Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDXP\System32\pmnlifg.dll

C:\WINDXP\ecRecvr.exe

C:\dfndrff_e22.exe

C:\Program Files\winupdates\winupdates.exe

C:\WINDXP\SYSTEM32\w00907e1.dll

C:\WINDXP\w00907e1.dll

C:\WINDXP\SYSTEM32\pmnlifg.dll

C:\WINDXP\ecRecvr.exe

C:\WINDXP\system32\c8000idme80a0.dll

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- /!\ ATTENTION si un ou des fichiers ".dll" sont présents dans la liste les mettrent en début de liste , et coche "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

Refais un scan hijackthis et poste le ici STP

 

Ensuite fais un scan ici

-Faire un scan antivirus en ligne

http://housecall65.trendmicro.com/ (fire fox ou IE)

Et faire celui-ci

http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)

 

A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)

 

-Poster le(s) rapport(s) trendmicro

 

A plus.

[geol]

Bonjour Regis,

Bon, j'ai suivi tes instrcution avec killbox, mais je suis pas certain que cela ait fort bien fonctionné.

 

voici le rapport hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 13:18:02, on 05/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

 

Running processes:

C:\WINDXP\System32\smss.exe

C:\WINDXP\system32\winlogon.exe

C:\WINDXP\system32\services.exe

C:\WINDXP\system32\lsass.exe

C:\WINDXP\system32\svchost.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\Explorer.EXE

C:\WINDXP\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDXP\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe

C:\WINDXP\System32\wuauclt.exe

C:\Program Files\HijackThis\geol.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll (file missing)

O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINDXP\System32\pmnnlkj.dll (file missing)

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDXP\System32\scupipjd.dll

O2 - BHO: (no name) - {8CB5A321-68B1-4FA1-A862-0EC73687EA98} - C:\WINDXP\System32\byxvv.dll

O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDXP\System32\msdxm.ocx

O3 - Toolbar: (no name) - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133866090909

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} - http://www.securitoo.com/fra/pages/navol/fscax.cab

O20 - Winlogon Notify: byxvv - C:\WINDXP\System32\byxvv.dll

O20 - Winlogon Notify: Internet Settings - C:\WINDXP\system32\c8000idme80a0.dll (file missing)

O20 - Winlogon Notify: pmnnlkj - pmnnlkj.dll (file missing)

O20 - Winlogon Notify: SMDEn - C:\WINDXP\system32\rioc3260.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

 

Dans l'attente de tes commentaires et nouveaux conseils, je vais continuer à suivre les précédentes instructions.

Merci et a+

[geol]

En fait, si je vais un scan en ligne je vais ouvrir ma connexion. Je pense qu'à ce moment là, ça va encore s'exiter dans tous les sens. Jusqu'à présent, je téléchargeais les soft à partir de mon fixe et utilisais une clef usb pour les installer sur le portable. Regis, faut-il vraiment que je scan en ligne pour l'instant ?

[regis56]

Re

 

Non attend un peu le rapport hijackthis montre de nouvelles lignes je regarde ca et je te dis quoi faire.

 

A plus.

[regis56]

Re

 

Bon repasse vundofix et refais un rapport hijackthis stp

 

A plus.

[geol]

ok, pas de pb j'attends que tu analyses le rapport

 

 

Re

 

Bon repasse vundofix et refais un rapport hijackthis stp

 

A plus.

 

 

ok, je fais cela de suite ! merci

a+

[regis56]

Re

 

ouaip en espèrant qu'il marche cette fois ci...

 

A plus.