Rapport HijackThis

[quarko]

Bonjour à tous

 

Je suis nouveau et espère avoir votre aide. Suite à un message crtical system errors j'ai effectué les 4 phases de nettoyage conseillées par vous. Voici le rapport HijackThis :

 

-------------------------------------------------------------------------------------

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - C:\Program Files\VidCodecs\isaddon.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [VirusBursters] C:\Program Files\VirusBursters\virusbursters.exe /h

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/229?ad9043892c9d49da9b03104c999ed4e7

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/230?ad9043892c9d49da9b03104c999ed4e7

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: detachments - {01d8d081-0f76-4ab5-b5e4-9b23a709670e} - C:\WINDOWS\System32\sacskza.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

------------------------------------------------------------------------------------------------------------------

 

Merci d'avance

 

Quarko

[Invité Laurent_62]

Bonsoir quarko, sois le bienvenue sur ce forum.

 

Premier temps un petit scan avec l'excellent utilitaire "made S!Ri"

 

=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip

-- Décompresse le sur ton bureau

* lance smitfraudfix.cmd et choisis l'option 1 puis valide par la touche [Entrée]

* Un rapport sera généré sauvegarde le

 

Note :

-- Si l'affichage des extensions n'est pas autorisé tu verras apparaitre smitfraudfix au lieu de smitfraudfix.cmd

- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus.

[quarko]

Bonjour Laurent_62

 

Merci pour ta reponse si rapide, voici le rapport de SmitfraudFix

 

-------------------------------------------------------------------------------------

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\sacskza.dll FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\zak

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\zak\Application Data

 

C:\Documents and Settings\zak\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusBursters 6.2.lnk FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

C:\DOCUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !

C:\DOCUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\zak\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

C:\DOCUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"="detachments"

 

[HKEY_CLASSES_ROOT\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}\InProcServer32]

@="C:\WINDOWS\System32\sacskza.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}\InProcServer32]

@="C:\WINDOWS\System32\sacskza.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

---------------------------------------------------------------------------------------------------------------------

 

Quelle serait l'autre étape ?

 

Encore un grand merci je suis très reconnaissant pour votre aide

 

Quarko

[Invité Laurent_62]

Re,

 

Voici donc la suite

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

 

=> Lance smitfraudfix.cmd

* choisis l'option 2 puis valide par la touche [entrée]

-- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

* Le fix déterminera si le fichier wininet.dll est infecté.

-- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.

-- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

-- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Note:

-- Cette étape élimine les fichiers infectieux détectés à l'étape #1

-- Important : l'option 2 de l'outil supprime le fond d'écran !

 

 

=> Redémarre ton PC en mode normal

 

 

=> Résultat

- Post le rapport de Smitfraudfix pour controler la suppression de l'infection

- Refais un log hijackthis et post le afin de terminer le nettoyage.

 

J'attire ton attention sur la necessité de fournir les rapports complet (avec l'entete) certaines verifications comme par exemple la version employée est indispensable à connaitre.

 

Bonne soirée

Modifié le 9 novembre 2006 par Laurent_62

[quarko]

Bonsoir,

 

Désolé pour le retard, il semble que le problème soit réglé car je n'ai plus la petite icone qui scintille.

 

Voici le rapport de SmitFraud

 

--------------------------------------------

SmitFraudFix v2.120

 

Scan done at 15:32:01,08, 2006-11-09

Run from C:\Documents and Settings\zak\Desktop\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{01d8d081-0f76-4ab5-b5e4-9b23a709670e}"="detachments"

 

[HKEY_CLASSES_ROOT\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}\InProcServer32]

@="C:\WINDOWS\System32\sacskza.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}\InProcServer32]

@="C:\WINDOWS\System32\sacskza.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

C:\WINDOWS\System32\sacskza.dll -> Hoax.Win32.Renos.gen.i

C:\WINDOWS\System32\sacskza.dll -> Deleted

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

C:\Documents and Settings\zak\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusBursters 6.2.lnk Deleted

C:\DOCUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted

C:\DOCUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted

C:\DOCUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

--------------------------------------------------------------------------------------

 

 

 

Et voici le rapport de HijackThis

 

-----------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 15:42:21, on 2006-11-09

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\CTFMON.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/229?ad9043892c9d49da9b03104c999ed4e7

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/230?ad9043892c9d49da9b03104c999ed4e7

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

---------------------------------------------------------------------------------------------------------------------

 

Je ne sais pas si ca confirme que mon pc est clean !!!!!!

 

Merci de la disponibilité

Quarko

[Invité Laurent_62]

Re,

 

Effectivement les rapports ne démontrent plus rien d'infectieux.

 

J'attire tout de même une attention particulière sur le fait que ce PC n'est pas à jour ce qui constitu une énorme faille de sécurité et l'installation de tous les antivirus ne peuvent dans ces conditions garantir la moindre efficacité.

 

Il serait totalement inutile de dépenser toute son énergie à vider la cale d'un bateau sur le point de couler si on ne fait rien pour colmater la brèche

 

C'est un peu le même cas avec un Windows non à jour.

 

A titre personnel je te conseille vivement d'installer au minimum un pack SP1a

 

bonne continuation

[Invité Laurent_62]

Edit..

J'ai été un peu vite à la lecture.

 

Redémarre en mode sans echec.

Lance Hijackthis coche et fixe ces lignes

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Supprime ce fichier C:\WINDOWS\web\related.htm

 

 

Redémarre en mode normal

Modifié le 9 novembre 2006 par Laurent_62