Demande d'analyse HJT

[lineve26]

Bonsoir/Bonjour,

 

Après une installation du gestionnaire Orange (mais c'est peut-être une hasard), j'ai eu un écran bleu et diverses fenêtres intempestives.

Kerio a d'ailleurs fait un rapport de crash: "crash.tar.gz--->crashdump.tar (antivir).

 

Voilà donc mon HJT fait dans les formes, selon la méthode de Mégataupe.

Antivir ne m'a rien trouvé.

 

Logfile of HijackThis v1.99.1

Scan saved at 02:18:58, on 09/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O9 - Extra button: (no name) - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

J'aimerais faire une petite remarque:

il est dit de supprimer Antivir en mode sans échec, avant de passer en mode normal. Eh bien, c'est impossible. Dans le gestionnaire des tâches, il n'y a pas les processus d'Antivir.

Serais-je dans l'erreur?

 

J'ai remarqué aussi qu'après l'installation d'Antivir et de sa configuration, mon PC était bloqué (15 mn environ). Mais même après la désinstallation, 3 lignes du Bios se chargent et puis c'est tout. (donc, cela ne doit pas venir d'Antivir).

Là, j'ai le temps de me faire un café et de le boire...je peux même aller au café du coin

 

En tout cas, merci à qui me répondra.

Ce fut dur

 

Sans doute à demain, vu l'heure.

Modifié le 9 octobre 2006 par lineve26

[Freeman206]

Bonjour.

 

I) Relance Hijackthis, coche les lignes qui suivent et clique sur fix checked :

 

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

 

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

 

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

 

O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)

 

O9 - Extra button: (no name) - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

 

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

 

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -

 

 

 

 

II) Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log (xxxx=chiffres) en l'ouvrant avec le bloc-note.

 

Tu peux consulter le tutorial de F-Secure BlackLight by Malekal_Morte

 

 

----> NE PAS choisir l'option "Cleaning" tout de suite car nous devons analyser le rapport avant.

[lineve26]

Bonjour,

 

Excusez-moi de ne ps avoir répondu plus tôt mais ma machine était bloquée.

 

Je vais faire ce que dit Freeman, en espérant ne pas avoir de problèmes.

 

Un grand merci!!!

 

@+

[lineve26]

RE bonjour,

 

J'ai donc fixé les lignes dans mon HJT.

 

Maintenant, le log de F-Secure Blacklight (si je ne me suis pas trompée car je ne suis pas un as en informatique...)

 

10/11/06 13:20:24 [info]: BlackLight Engine 1.0.47 initialized

10/11/06 13:20:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

10/11/06 13:20:24 [Note]: 7019 4

10/11/06 13:20:24 [Note]: 7005 0

10/11/06 13:20:38 [Note]: 7006 0

10/11/06 13:20:38 [Note]: 7011 1136

10/11/06 13:20:38 [Note]: 7026 0

10/11/06 13:20:38 [Note]: 7026 0

10/11/06 13:20:42 [Note]: FSRAW library version 1.7.1020

10/11/06 13:23:58 [Note]: 2000 1012

10/11/06 13:24:58 [Note]: 7007 0

 

Est-cela?

 

Merci et @+

Modifié le 11 octobre 2006 par lineve26

[lineve26]

Un petit up!

[Freeman206]

Bonjour.

 

I) C'est propre. Fais un scan antivirus en ligne avec IE : http://www.pandasoftware.fr/Activescan/Activescan.html. Enregistre et post ensuite le rapport.[rouge] (Si tu as Avast désactive le le temps du scan)[/rouge].

[lineve26]

Merci beaucoup Freeman mais j'ai peur de désactiver mon AV pour faire un scan avec Panda.

 

Bitdefender ne suffit-il pas?

 

@+

[lineve26]

Re Freeman,

 

J'ai fait un scan avec Avast et Bitdefender.

J'espère que cela ira.

 

BitDefender Online Scanner - Rapport virus en temps réel

 

 

 

 

 

 

 

Généré à: Wed, Oct 11, 2006 - 19:21:01

 

 

 

 

 

 

 

 

 

Info d'analyse

 

 

 

 

 

 

 

Fichiers scannés

 

 

145467

 

Infectés Fichiers

 

 

0

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Virus Détectés

 

 

 

 

 

 

 

Aucun virus trouvé.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

 

Merci beaucoup à toi.

 

Bonne soirée!

[lineve26]

Bonsoir,

 

Encore une question:

 

A quoi sert dans system32 FTRTSVC?

 

Merci d'avance.

Modifié le 11 octobre 2006 par lineve26