[résolu] analyse rapport HijackThis svp

[mady]

Bonjour, pouvez-vous me dire si quelque chose vous parait suspect ici :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:26:26, on 07/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\H.jackthis\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {4C12BC2D-CBD4-480B-B97E-DDD06BDA40AE} - C:\WINDOWS\System32\rqrsrrr.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\iexpolere.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: rqrsrrr - C:\WINDOWS\SYSTEM32\rqrsrrr.dll

O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

 

 

Il a été fait juste après formatage, rien n'a été installé. Pourtant il y a des problèmes de blocage, messages d'erreur....plus de détails ici : ICI

Merci

Modifié le 15 mars 2007 par mady

[bruce lee]

Bonjour mady,

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

[mady]

bonjour bruce lee, je vais faire ce que tu m'as conseillé

petite question : HijackThis doit bien se faire en mode normal, pas en mode sans echec?

[bruce lee]

Re,

 

Oui, Hijackthis en mode normal

 

@+

[mady]

Rebonjour

Désolée pour le retarde de ma réponse, j'ai eu beaucoup de mal à utiliser VundoFIX jusqu'à la fin, le PC se bloque toujours!

 

Voilà les résultats :

 

Rapport VUNDOFIX

 

VundoFix V6.3.15

 

Checking Java version...

 

Sun Java not detected

Scan started at 21:16:54 08/03/2007

 

Listing files found while scanning....

 

 

VundoFix V6.3.15

 

Checking Java version...

 

Sun Java not detected

Scan started at 16:47:41 09/03/2007

 

Listing files found while scanning....

 

C:\WINDOWS\system32\awttqnk.dll

C:\WINDOWS\system32\awtttqn.dll

C:\WINDOWS\system32\byxwwvv.dll

C:\WINDOWS\system32\efccaby.dll

C:\WINDOWS\system32\fccbxvt.dll

C:\WINDOWS\system32\khfgheb.dll

C:\WINDOWS\system32\nnnkijj.dll

C:\WINDOWS\system32\rqrsrrr.dll

C:\WINDOWS\system32\tuvwvsp.dll

C:\WINDOWS\system32\tuvwwuv.dll

C:\WINDOWS\system32\urqoool.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\awttqnk.dll

C:\WINDOWS\system32\awttqnk.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\awtttqn.dll

C:\WINDOWS\system32\awtttqn.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\byxwwvv.dll

C:\WINDOWS\system32\byxwwvv.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\efccaby.dll

C:\WINDOWS\system32\efccaby.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\fccbxvt.dll

C:\WINDOWS\system32\fccbxvt.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\khfgheb.dll

C:\WINDOWS\system32\khfgheb.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\nnnkijj.dll

C:\WINDOWS\system32\nnnkijj.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\rqrsrrr.dll

C:\WINDOWS\system32\rqrsrrr.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\tuvwvsp.dll

C:\WINDOWS\system32\tuvwvsp.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\tuvwwuv.dll

C:\WINDOWS\system32\tuvwwuv.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\urqoool.dll

C:\WINDOWS\system32\urqoool.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Rapport HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 16:52:18, on 09/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\iexpolere.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\csrs.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\H.jackthis\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {4C12BC2D-CBD4-480B-B97E-DDD06BDA40AE} - C:\WINDOWS\System32\rqrsrrr.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\iexpolere.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Windows Service Monitor (winsvcmon) - Unknown owner - C:\WINDOWS\System32\winsvcmon.exe

 

 

MERCI

[bruce lee]

Bonjour mady,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\iexpolere.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/Supprime ce qui est en gras:

 

C:\WINDOWS\web\ related.htm<== le fichier

C:\WINDOWS\System32\ iexpolere.exe<== le fichier

 

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/ [*]Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

[*]Appuie sur Y pour commencer le script.

[*]Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.

[*]Appuie sur une touche pour redémarrer le PC.

[*]Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

[*]Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

[*]Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

[*]Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

 

 

8/Redémarre en mode normal

 

9/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[mady]

Merci bruce lee, je commence la procédure tout de suite.

Il y a juste truc que je ne pourrai pas faire : la mise à jour EWIDO car je n'arrive pas à installer de connexion internet sur le PC qui pose problème.

a+

[bruce lee]

Re,

 

Merci de le préciser

 

Fait la procédure en entier et seulement ensuite dit moi ce que tu n'auras pas réussi a faire.

 

@+

[mady]

voici les dernières nouvelles :

 

étape 3 : il n'y avait pas la ligne O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\iexpolere.exe

 

ce matin j'ai pu installer l'antivirus AVAST qui a supprimé quelque chose qui s'appelait iexpolere, je suppose que c'est pour ça qu'il n'est plus là!

 

 

étape 5 : il n'y a pas C:\WINDOWS\System32\ iexpolere.exe<== le fichier

 

étape 6 : rien n'a été trouvé

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 12:58:24 11/03/2007

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

 

 

rapport SD FIX

 

 

SDFix: Version 1.70

 

Run by Administrateur - 11/03/2007 / 13:00:41,76

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

Name:

winsvcmon

 

Path:

C:\WINDOWS\System32\winsvcmon.exe

 

winsvcmon Deleted

 

 

 

Restoring Windows Registry Entries

Restoring Default Hosts File

 

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINDOWS\system32\csrs.exe - Deleted

C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\iexplore.exe - Deleted

C:\WINDOWS\system32\o - Deleted

C:\WINDOWS\system32\TFTP488 - Deleted

C:\WINDOWS\system32\TFTP852 - Deleted

C:\WINDOWS\system32\winsvcmon.exe - Deleted

 

 

 

ADS Check:

 

C:\WINDOWS\system32

No streams found.

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

 

Checking For Files with Hidden Attributes :

 

C:\WINDOWS\system32\dzrr.exe

C:\WINDOWS\system32\jfkkqcn.exe

C:\WINDOWS\system32\rcffvmgr.exe

C:\WINDOWS\system32\uwigmox.exe

 

Finished

 

Rapport HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 13:15:22, on 11/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\H.jackthis\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {4C12BC2D-CBD4-480B-B97E-DDD06BDA40AE} - C:\WINDOWS\System32\rqrsrrr.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

 

 

Merci

[bruce lee]

Bonjour mady,

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe