[résolu]analyse hijackthis après procédure

[Koma]

Slt, si quelqu'un peut verifier, pour me dire si c'est clean

 

merci

 

Logfile of HijackThis v1.99.1

Scan saved at 17:13:24, on 28/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Google\Common\Google

 

Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvraidservice.exe

C:\Program Files\ATI Technologies\ATI Control

 

Panel\atiptaxx.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\DeltTray.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\lclock.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows

 

Live\WLLoginProxy.exe

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

F:\PROG pour procédure\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search

 

Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search

 

Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

 

Page = http://www.free.fr/

R0 - HKLM\Software\Microsoft\Internet

 

Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet

 

Explorer\SearchURL,(Default) =

 

http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: &Yahoo! Toolbar -

 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

 

Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}

 

- F:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class -

 

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program

 

Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045}

 

- (no file)

O2 - BHO: Windows Live Sign-in Helper -

 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program

 

Files\Fichiers communs\Microsoft Shared\Windows

 

Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper -

 

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

 

files\google\googletoolbar1.dll

O3 - Toolbar: &Google -

 

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

 

files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NVRaidService]

 

C:\WINDOWS\system32\nvraidservice.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI

 

Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon]

 

C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [KernelFaultCheck]

 

%systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

 

Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir

 

PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O8 - Extra context menu item: E&xport to Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) -

 

{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O12 - Plugin for .spop: C:\Program Files\Internet

 

Explorer\Plugins\NPDocBox.dll

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF}

 

(HardwareDetection Control) -

 

http://www.touslesdrivers.com/fichiers/har...edetection/hard

 

waredetection.cab?version=

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail

 

Attachments Control) -

 

http://by113fd.bay113.hotmail.msn.com/activex/HMAtchmt.ocx

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{534795CF-96D5-49D3-957C-90

 

1BC8E3542F}: NameServer = 85.255.116.104,85.255.112.229

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{A8A9FFFE-AA27-4B02-B559-C2

 

A58EADE567}: NameServer = 85.255.116.104,85.255.112.229

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{B5D5EE33-68E7-4943-8D80-96

 

56FBE5B062}: NameServer = 85.255.116.104,85.255.112.229

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{BCE6893A-89A3-4267-8EF8-8E

 

36A71BAD0A}: NameServer = 85.255.116.104,85.255.112.229

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer =

 

85.255.116.104 85.255.112.229

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer =

 

85.255.116.104 85.255.112.229

O18 - Protocol: livecall -

 

{828030A1-22C1-4009-854F-8E305202313F} -

 

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim -

 

{828030A1-22C1-4009-854F-8E305202313F} -

 

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj -

 

{AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

 

C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler

 

(AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir

 

PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard

 

(AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir

 

PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

 

C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner -

 

C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google -

 

C:\Program Files\Google\Common\Google

 

Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. -

 

C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Program

 

Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Windows Management Service - Unknown owner -

 

C:\WINDOWS\system32\dmoug.exe

Modifié le 1 mars 2007 par Koma

[WawaSeb]

Bonjour Koma,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> J'analyse ton rapport, retour prévu dans 20 / 30 minutes...

 

 

Merci pour ta patience...

[Koma]

ok merci j 'ai oublier de préciser, j'arrive pas à mettre de fond d'écran, je peux pas selectionner parcourir, pour mettre un fond d'écran, même pas choisir de fond d'écran d'origine

[Malekal_morte]

Salut,

 

Tu es infecté... Quand tu fais des recherches sur Google.. tu dois te retrouver sur des sites pourris.. quand tu clics sur un résultat de la recherche.

 

'fin bon WawaSeb va t'aider!

[Koma]

nan j'ai vérifier le truc sur google, ça marche normal, mais ce matin quand j'ai démarrer mon pc, déjà il était lent et en plus je voyais spy marshal qui étais installer.

[Malekal_morte]

Ca doit le faire que sur internet explorer.

[WawaSeb]

Salut Malekal_morte, re-Koma,

 

*** Comme le dit très bien Malekal_morte, tu dois avoir de "drôles de surprises" en surfant... ***

 

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{534795CF-96D5-49D3-957C-901BC8E3542F}: NameServer = 85.255.116.104,85.255.112.229

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A9FFFE-AA27-4B02-B559-C2A58EADE567}: NameServer = 85.255.116.104,85.255.112.229

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5D5EE33-68E7-4943-8D80-9656FBE5B062}: NameServer = 85.255.116.104,85.255.112.229

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCE6893A-89A3-4267-8EF8-8E36A71BAD0A}: NameServer = 85.255.116.104,85.255.112.229

 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.104 85.255.112.229

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -http://www.touslesdrivers.com/fichiers/har...edetection/hardwaredetection.cab?v ersion= ---> Si tu ne comptes plus rechercher de pilotes

 

 

2) Télécharge le FixWareout du site suivant sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, assure toi que "Run fixit" est activé et clique sur Finish.

--> Le programme va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

 

Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

--> Au final, poste le contenu de C:\fixwareout\report.txt

 

 

4) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\WINDOWS\system32\dmoug.exe
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

5) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie / colle le contenu de ce rapport-là aussi dans ta prochaine réponse

 

 

Bon travail !!!

[Koma]

Fixwareout Last edited 2/11/2007

Post this report in the forums please

...

»»»»»Prerun check

HKLM\SOFTWARE\~\Winlogon\ "System"="csgpc.exe"

Service: "Windows Management Service" = C:\WINDOWS\System32\dmoug.exe

 

»»»»» System restarted

 

»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "2mdm" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}0E7E7C41FE64-96F8-8254-F15C-547BB41E{" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}83B7F24F6BA8-EA3A-40C4-7EFD-152090FA{" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "guomd" Deleted

....

»»»»» Misc files.

C:\Documents and Settings\Sen'c\Application Data\Install.dat Deleted

C:\WINDOWS\system32\{0140CE86-8215-40C3-BC57-7479D7081B03}.exe Deleted

C:\WINDOWS\System32\kernel32.exe Deleted

....

»»»»» Checking for older varients.

....

 

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

 

 

 

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

 

»»»»» Other

 

 

 

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVRaidService"="C:\\WINDOWS\\system32\\nvraidservice.exe"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"DeltTray"="DeltTray.exe"

"M-Audio Delta Taskbar Icon"="C:\\WINDOWS\\System32\\DeltTray.exe"

"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\

65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"LClock"="lclock.exe"

"Steam"=""

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

[Koma]

02/28/07 18:35:24 [info]: BlackLight Engine 1.0.55 initialized

02/28/07 18:35:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/28/07 18:35:24 [Note]: 7019 4

02/28/07 18:35:24 [Note]: 7005 0

02/28/07 18:35:26 [Note]: 7006 0

02/28/07 18:35:26 [Note]: 7011 1508

02/28/07 18:35:26 [Note]: 7026 0

02/28/07 18:35:27 [Note]: 7026 0

02/28/07 18:35:32 [Note]: FSRAW library version 1.7.1021

02/28/07 18:38:42 [Note]: 7007 0

 

Sinon j'ai pas trouver les fichier "dmoug.exe"

[WawaSeb]

Bonsoir Koma,

 

Tu travailles super bien... la procédure touche à sa fin !

 

 

1) Désactive le service suivant :

 

Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "Windows Management Service " (propriétés, général, type de démarrage : DESACTIVE)

 

 

2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

4) Reposte également un nouveau rapport HijackThis après avoir décoché la case "Retour à la ligne automatique" de ton bloc-note dans l'onglet Format

 

 

A demain !