rapport de log hijackthis

[arthurleouf]

bonjour je vous envoie ce rapport de log d'hijackthis car je pense que mon ordi a un virus il a mis 1h a se conecter mercredi lol jespere que vous pouvez resoudre mon probleme j ai confiance en vous^^ bonne soiree et repondez vite svp

 

ci joit le rapport log:[Logfile of HijackThis v1.99.1

Scan saved at 18:23:24, on 16/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

c:\program files\softwin\bitdefender8\bdmcon.exe

C:\WINDOWS\System32\msiexec.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.windowsmedia.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [updateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[kevin76]

Bonjour arthurleouf,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Quels sont les symptômes ? Depuis quel moment as-tu des dysfonctionnements ? Sont-ils arrivés après une manipulation spécifique ? (Ajout de programme, ...)

 

Applique la procédure de pré-nettoyage de Megataupe http://forum.zebulon.fr/index.php?showtopic=83986

Prends soin de bien l'appliquer, notament la configuration d'antivir, ceci est une étape trés importante !

 

Puis poste sur le forum dans le message que tu as déjà ouvert, clique sur "répondre" entre "flash" et "nouveau" le log Hijackthis demandé dans la procédure ansi que celui d'Antivir.

 

@+

[Kalway II]

---

Modifié le 15 juin 2011 par Kalway II

[kevin76]

Bonjour arthurleouf, kalway II,

 

 

Voici la marche à suivre, tu devras appliquer la procédure dans l'ordre. S'il y a quelque chose que tu ne comprends pas ou si tu bloques quelque part n'hésite pas à m'en faire part.

 

Lors du redémarrage en mode sans échec tu n'auras pas accès à Internet, donc copie ces instructions dans un fichier texte et enregistre le afin de le retrouver facilement.

 

 

#1 Téléchargement des logiciels

 

*Créer un nouveau dossier C:\Désinfection afin d'y placer touts les logiciels servant à la désinfection.

 

*Télécharger Blacklight (de F-Secure); cliquer sur "I ACCEPT" au bas de la page. Le sauvegarder dans C:\Désinfection.

 

*Télécharger CCleaner http://www.ccleaner.com/ccdownload.asp et l'installer (attention à l'installation pense à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner)

 

*Télécharger la version d'évaluation d'AVG AntiSpyware (AVG AS):

http://downloads.grisoft.cz/softw/70/filed...up-7.5.0.50.exe

 

L'installer et la mettre à jour :

Démarrer AVG AS avec l'icône qui se trouve sur ton Bureau.

Cliquer sur Mise à jour,

attendre la fin de cette mise à jour,

puis fermer le programme.

 

 

 

#2 Préparation du système

 

*Redémarrer le PC, impérativement en mode sans échec,

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

(en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

*S'assurer d'avoir accès à touts les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer le bouton-radio: Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer a tous les dossiers

 

#3 Suppression des lignes Hijacthis néfastes

 

*Lancer Hijackthis et cliquer sur Do a system scan only puis cocher les lignes suivantes (beaucoup d'entres elles ne devraient plus être présentes) :

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

Puis fermer toutes les fenêtres sauf celle d'Hijackthis et "fix checked"

 

 

#4 Finition du nettoyage

 

*Lancer AVG AS et cliquer sur Analyse

Puis sur l'onglets Paramètres, pour Actions recommandés sélèctionner Quarantaine.

 

Revenir a l'onglet Analyser puis cliquer sur Analyse complète du système.

Le scan démarre.

 

A la fin cliquer sur Appliquer toutes les actions

Puis sur Enregistrer le rapport et pour finir Enregister le rapport sous,enregistrer sur le Bureau.

 

 

 

#5 Vérification du système

 

Redémarrer en mode "normal"

 

As-tu toujours des dysfonctionnements ?

 

A titre de vérification :

 

*Renommer HijackThis.exe en Scanner.exe (clique droit => Renommer)

Lancer Scanner.exe(Hijackthis) puis Do a system scan and save log

 

*Lancer Blacklight

Double-cliquer blbeta.exe et accepter la licence; cliquer Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

*Puis poster sur le forum dans le message que tu as déjà ouvert, cliquer sur "répondre" entre "flash" et "nouveau"

Le log de :

AVG AS que tu as enregistré sur le bureau

Hijackthis présent dans le dossier où se trouve Hijackthis

Blacklight présent dans C:\Désinfection

 

Voila c'est fini pour l'instant, nous verrons pour mettre a jour ton système et le sécuriser dès que ton PC ne montrera plus de signe d'infection.

 

Bon courage et @+

[arthurleouf]

Bonjour arthurleouf, kalway II,

Voici la marche à suivre, tu devras appliquer la procédure dans l'ordre. S'il y a quelque chose que tu ne comprends pas ou si tu bloques quelque part n'hésite pas à m'en faire part.

 

Lors du redémarrage en mode sans échec tu n'auras pas accès à Internet, donc copie ces instructions dans un fichier texte et enregistre le afin de le retrouver facilement.

#1 Téléchargement des logiciels

 

*Créer un nouveau dossier C:\Désinfection afin d'y placer touts les logiciels servant à la désinfection.

 

*Télécharger Blacklight (de F-Secure); cliquer sur "I ACCEPT" au bas de la page. Le sauvegarder dans C:\Désinfection.

 

*Télécharger CCleaner http://www.ccleaner.com/ccdownload.asp et l'installer (attention à l'installation pense à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner)

 

*Télécharger la version d'évaluation d'AVG AntiSpyware (AVG AS):

http://downloads.grisoft.cz/softw/70/filed...up-7.5.0.50.exe

 

L'installer et la mettre à jour :

Démarrer AVG AS avec l'icône qui se trouve sur ton Bureau.

Cliquer sur Mise à jour,

attendre la fin de cette mise à jour,

puis fermer le programme.

#2 Préparation du système

 

*Redémarrer le PC, impérativement en mode sans échec,

 

(en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

*S'assurer d'avoir accès à touts les fichiers

#3 Suppression des lignes Hijacthis néfastes

 

*Lancer Hijackthis et cliquer sur Do a system scan only puis cocher les lignes suivantes (beaucoup d'entres elles ne devraient plus être présentes) :

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

Puis fermer toutes les fenêtres sauf celle d'Hijackthis et "fix checked"

#4 Finition du nettoyage

 

*Lancer AVG AS et cliquer sur Analyse

Puis sur l'onglets Paramètres, pour Actions recommandés sélèctionner Quarantaine.

 

Revenir a l'onglet Analyser puis cliquer sur Analyse complète du système.

Le scan démarre.

 

A la fin cliquer sur Appliquer toutes les actions

Puis sur Enregistrer le rapport et pour finir Enregister le rapport sous,enregistrer sur le Bureau.

#5 Vérification du système

 

Redémarrer en mode "normal"

 

As-tu toujours des dysfonctionnements ?

 

A titre de vérification :

 

*Renommer HijackThis.exe en Scanner.exe (clique droit => Renommer)

Lancer Scanner.exe(Hijackthis) puis Do a system scan and save log

 

*Lancer Blacklight

Double-cliquer blbeta.exe et accepter la licence; cliquer Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

*Puis poster sur le forum dans le message que tu as déjà ouvert, cliquer sur "répondre" entre "flash" et "nouveau"

Le log de :

AVG AS que tu as enregistré sur le bureau

Hijackthis présent dans le dossier où se trouve Hijackthis

Blacklight présent dans C:\Désinfection

 

Voila c'est fini pour l'instant, nous verrons pour mettre a jour ton système et le sécuriser dès que ton PC ne montrera plus de signe d'infection.

 

Bon courage et @+

[Kalway II]

---

Modifié le 15 juin 2011 par Kalway II

[kevin76]

Bonsoir athurleouf et kalway II,

 

Si il y un soucis ne pas hésiter à m'en faire part, je suis la aussi pour ça

 

Surtout ne pas oublier de joindre les rapport que j'ai demander une fois la procédure effectuer. En effet la désinfection ne s'arrête pas à mon dernier post.

 

@+

[Kalway II]

---

Modifié le 15 juin 2011 par Kalway II

[kevin76]

Bonjour arthurleouf, kalway II,

 

Des nouvelles athurleouf ?

As-tu besoin d'aide ?

 

@+

Modifié le 1 décembre 2006 par kevin76