besoin d'aide pour analyse rapport hijack svp

[tristis]

salut à tous

 

 

 

j'ai un problème qui m'a emmené à lancer une analyse avec hijackthis . mon antivirus ( nod 32 ) decele des erreurs des que je le lance en scan , il me dit en gros qu'il y a un programme lancée au démarrage qui empeche le scan de certains fichiers , apparement hormis ça , il ne trouve pas de virus . j'ai lancé adaware , j'ai fait des scans online , le pc semble corrompu mais je ne sais pas par quoi .

 

 

voici mon log si quelqu'un peut m'aider

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:57:30, on 28/10/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Apps\ActivBoard\MMKeybd.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Pense-bete\pb79a.exe

C:\Apps\ActivBoard\TrayMon.exe

C:\Apps\ActivBoard\OSD.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Winamp\Winamp.exe

C:\Documents and Settings\SANDRINE\Bureau\maxthon le bon\Maxthon.exe

C:\Documents and Settings\SANDRINE\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Surfairy - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Pense-Bête] C:\Program Files\Pense-bete\pb79a.exe

O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab

O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version8/Applet/wchatsign.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.jeux.aufeminin.com/act...gamesplayer.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O16 - DPF: {D9CA5D65-52BE-4790-BEA3-F3E2F5A76B02} (WebRecomendada Class) - http://62.97.81.200/dll/clickweb.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://jeux.wanadoo.fr/online2/pixelus/popcaploader_v6.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://jeux.wanadoo.fr/online2/zuma/oberongamesloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C998B34F-D8C8-4FD6-8D77-56596B90552A}: NameServer = 80.10.246.130 80.10.246.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

 

 

merci d'avance

[Invité Laurent_62]

Bonsoir tristis,

 

Pour commencer Hijackthis est mal placé sur le bureau car lors de son utilisation il créera un dossier backup.

Déplace le dans un dossier qui lui sera dédié avant de poursuivre (c:\hijackthis\ par exemple)

 

Une partie des opérations ci dessous s'effectueront en mode sans echec. Ce mode ne te permettra pas de te connecter à internet pour revoir ce post et les indications, je te conseille donc d'imprimer ces instructions ou en faire un copier coller dans un fichier txt que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec.

 

Si tu rencontre un problème particulier, continu cette procédure et signale le dans ta prochaine réponse

 

Pour la suite des opérations voici quelques manipulations à effectuer.

 

=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

-- Met le sur ton bureau

Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec

 

 

=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html

note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.

 

 

=> Télécharge AVG AntiSpyware .

http://www.ewido.net/en/download/

-- Installe le

* Lance AVG AntiSpyware

-- menu Mises à jour

---- Clique sur le bouton Commencer la mise à jour

-- menu analyse onglet paramètres

---- dans la catégorie Rapports coche les cases

[X] Générer un rapport après chaque analyse

[X] Uniquement en cas de menace

* Quitte AVG anti-spyware

 

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

Après l'avoir déplacé dans un dossier qui lui sera dédié

=> Lance Hijackthis

 

- Clique sur do a system scan only

-- Coche les cases correspondant à ces lignes

 

O2 - BHO: Surfairy - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll (file missing)

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O16 - DPF: {D9CA5D65-52BE-4790-BEA3-F3E2F5A76B02} (WebRecomendada Class) - http://62.97.81.200/dll/clickweb.cab

 

- Clique sur Fix checked

-- Quitte Hijackthis

 

 

=> Supprime ce dossier :

 

C:\Program Files\ Surfairy

 

 

=> Lance ATF-Cleaner :

* Sous l'onglet Main, choisis : Select All

* Clique sur le bouton Empty Selected

 

* Sous l'onglet Firefox (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

 

* Sous l'onglet Opéra (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

* Quitte ATF-Cleaner

 

 

=> Lance jv16-powertools

* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok

* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre

* Clique sur Continuer et Démarrer

* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques

* Clique en bas sur Supprimer puis Fermer

* quitte Jv16

 

=> Lance AVG AntiSpyware

* Menu analyse

-- Onglet Analyser

* clique sur analyse complète du système pour lancer le scan

* Le scan fini clique sur Appliquer toutes les actions

-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau

* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

 

 

=> Redémarre en mode normal

 

 

=> Rend toi sur ce site http://www.virustotal.com/en/virustotalx.html

* Clique en haut à droite sur le bouton "Parcourir"

-- Choisis le fichier :

c:\apps\easydvd\cleanall.exe

* Clique sur sur send

* Le résultat s'affichera , Fais en un copier / coller dans ta prochaine réponse

 

-- Recommence cette même opération avec ce fichier

C:\Apps\ActivBoard\MMKeybd.exe

 

 

Note :

Le scan peut, suivant la charge du serveur, prendre un peu de temps ; sois donc patient

 

 

=> Fais un scan en ligne avec Internet explorer

* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html

-- Clique sur l'image Analyser votre PC

-- Complète ou rempli les champs demandés (province et E-mail)

-- Clique sur l'image analyser gratuitement maintenant pour continuer

note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport

-- Pour le retrouver facilement met le sur le bureau

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

Note :

- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)

- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

=> Post dans ta prochaine réponse

 

Les log/rapports suivants

- AVG antispyware

- Scan en ligne Panda

- Rapport de Jotti (2)

- Un nouveau log Hijackthis

 

Sans oublier toutes questions, problème rencontrés, ou autre demande de précision complémentaire

 

Bonne continuation

Modifié le 28 octobre 2006 par Laurent_62