analyse hijackthis apres virus et restauration [RESOLU]

[pimprenelle]

Bonjour,

 

je vous remercie de bien vouloir lire lon log que je vais coller ci après. Je n'ai que des problemes avec mon PC depuis 10 jours. Je me suis chopé des virus de M.... et j'ai finalement fait une restauration destructive càd tout écraser!!! depuis XP me semble pas vraiment comme avant, j'ai des messages d'erreur et des bizarerries. C'est pour ça que ce serait cool si quelqu'un peut verifier mon log. Merci d'avance et BONNE ANNEE icon_wink.gif je suis sous XP2 et firefox

 

Logfile of HijackThis v1.99.1

Scan saved at 18:00:10, on 02/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\apps\ABoard\ABoard.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\apps\ABoard\AOSD.exe

C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\slrundll.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\dllhost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\hijackthis\Hijackthis Version Française\hijackthis vf.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redi...&key=SEARCH

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/eng/theres_a_red_circle.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1167176218312

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

A+

Modifié le 5 janvier 2007 par pimprenelle

[WawaSeb]

Bonsoir pimprenelle,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> J'analyse ton rapport, retour prévu dans 20 / 30 minutes...

 

 

Merci pour ta patience...

[pimprenelle]

Bonsoir pimprenelle,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

--> J'analyse ton rapport, retour prévu dans 20 / 30 minutes...

Merci pour ta patience...

 

merci beaucoup!!!!

[WawaSeb]

Re -,

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

 

2) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : c:\apps\easydvd\cleanall.exe
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

 

3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche toutes les cases

---> Clique à nouveau sur OK

 

 

 

4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bonne chance à toi !

[pimprenelle]

Re -,

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

2) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : c:\apps\easydvd\cleanall.exe
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche toutes les cases

---> Clique à nouveau sur OK

4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Bonne chance à toi !

 

 

Bon , je vais essayer de faire cela. Petite question, qui va peut être de paraître nulle, mais quand tu dit fixer c'est quoi exactement? Il faut les cocher et puis....? 2ème question, est ce un virus que tu as trouvé?

merci

[WawaSeb]

Bonsoir pimprenelle,

 

Petite question, qui va peut être de paraître nulle

----> Au contraire, tu as raison de poser des questions, c'est le meilleur moyen d'apprendre !

 

Pour fixer des lignes avec HijackThis, clique simplement sur ce lien et sur "Fixer les lignes" !

 

 

Bonne chance !

[pimprenelle]

Bonsoir pimprenelle,

----> Au contraire, tu as raison de poser des questions, c'est le meilleur moyen d'apprendre !

 

Pour fixer des lignes avec HijackThis, clique simplement sur ce lien et sur "Fixer les lignes" !

Bonne chance !

 

Salut,

 

j'ai supprimé les 2 lignes 09, j'ai fait la recherche sur le fichier cleanall.exe, introuvable, et impossible de faire un scan en ligne. Quand Kaspersky me demande d'installer le controle active x je reponds Ok et ça ne se fait pas; (Je suis bien à ce moment là sous IE6). Rien ne va comme il faut c'est

As tu une idée?

[WawaSeb]

Courage pimprenelle,

 

 

*** Nous allons y arriver ! ***

 

Pour l'étape 2),

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

 

En ce qui concerne le contrôle Active-X, vérifie que ton navigateur est bien configuré comme indiqué ici

 

---> Tu peux également essayer le scan en ligne avec Panda

 

 

Ne te démoralise pas...

[pimprenelle]

Courage pimprenelle,

*** Nous allons y arriver ! ***

 

Pour l'étape 2),

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

En ce qui concerne le contrôle Active-X, vérifie que ton navigateur est bien configuré comme indiqué ici

 

---> Tu peux également essayer le scan en ligne avec Panda

Ne te démoralise pas...

 

Merci pour tes encouragements! Alors pour les fichiers c'est ok, concernant Ie5 aussi. Sauf que ça ne marche toujours pas pour le scan en ligne. Le truc bizarre de IE6 c'est qu'il est au couleur de Packard Bell. J'ai essayé d'en reinstaller un mais message "impossible version installée plus récente". Peut être que je devrais mettre IE7 mais je l'ai desinstallée suite à tous les problèmes que j'ai eu car il m'a planté avec son scan en ligne (je ne sais plus comment il s'appelle). Ca donne l'impression que XP ne veut pas qu'on utlise firefox

Qu'en pense tu?

[WawaSeb]

Bonsoir pimprenelle,

 

# Aucun des scans en ligne ne fonctionne ?

# Les scans en ligne DOIVENT se faire avec Internet Explorer !!!

 

Le truc bizarre de IE6 c'est qu'il est au couleur de Packard Bell

---> Je ne comprends pas bien ce que tu veux dire, pourrais-tu m'envoyer une capture d'écran ?

 

@ demain,