Votre avis sur mon log [RESOLU]

[bullbizar]

Bonjour à toutes et à tous,

 

Au labo, j'ai "hérité" d'un P.C (PIV, 2.8 GHz, 256 Mo RAM, 80 Go DD) et avant de l'utiliser j'ai procédé à une désinfection selon la procédure décrite sur ce forum et je vous joins mon log Hijackthis.

 

Dites -moi si vous voyez quelque chose de "tordu"

 

Je vous remercie par avance et à bientot.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:59:29, on 27/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\csrss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\System32\ctfmon.exe

H:\WINDOWS\System32\alg.exe

H:\Program Files\Spyware Doctor\sdhelp.exe

H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

H:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

H:\WINDOWS\System32\RUNDLL32.EXE

H:\Program Files\Spyware Doctor\swdoctor.exe

H:\WINDOWS\System32\rundll32.exe

H:\WINDOWS\System32\svchost.exe

H:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=H:\WINDOWS\svchost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - H:\PROGRA~1\MASSDO~1\MDHELPER.DLL

O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - H:\WINDOWS\System32\tpaa.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"

O4 - HKLM\..\Run: [iSUSPM Startup] "H:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "H:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [spyware Doctor] "H:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - H:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - H:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - H:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - H:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{379DD302-03EE-49D7-9049-BF847925D995}: NameServer = 85.255.116.126,85.255.112.119

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: JEAIFCDC - {31C4028A-2A27-66B3-5352-315D4B7840A7} - (no file)

O23 - Service: Autodesk Licensing Service - Autodesk - H:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - H:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - H:\Program Files\Spyware Doctor\sdhelp.exe

Modifié le 4 avril 2007 par bullbizar

[Malekal_morte]

Bonsoir,

 

H:\Program Files\hijackthis\HijackThis.exe <-- renomme le en scanner.exe

double-clic dessus

poste un nouveau rapport avec.

[bullbizar]

Bonsoir,

 

H:\Program Files\hijackthis\HijackThis.exe <-- renomme le en scanner.exe

double-clic dessus

poste un nouveau rapport avec.

 

Bonjour,

 

J'ai suivi ton conseil et je joins ci-après le nouveau log.

 

Merci et à bientot

 

Logfile of HijackThis v1.99.1

Scan saved at 09:35:39, on 28/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\csrss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\WINDOWS\System32\alg.exe

H:\WINDOWS\Explorer.EXE

H:\Program Files\Spyware Doctor\sdhelp.exe

H:\WINDOWS\System32\ctfmon.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\System32\wdfmgr.exe

H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

H:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

H:\WINDOWS\System32\RUNDLL32.EXE

H:\Program Files\Spyware Doctor\swdoctor.exe

H:\WINDOWS\System32\rundll32.exe

H:\Program Files\Mozilla Firefox\firefox.exe

H:\WINDOWS\explorer.exe

H:\Program Files\hijackthis\scanner.exe.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=H:\WINDOWS\svchost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - H:\PROGRA~1\MASSDO~1\MDHELPER.DLL

O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - H:\WINDOWS\System32\tpaa.dll (file missing)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"

O4 - HKLM\..\Run: [iSUSPM Startup] "H:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "H:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [spyware Doctor] "H:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = H:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - H:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - H:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - H:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - H:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{379DD302-03EE-49D7-9049-BF847925D995}: NameServer = 85.255.116.126,85.255.112.119

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: JEAIFCDC - {31C4028A-2A27-66B3-5352-315D4B7840A7} - (no file)

O23 - Service: Autodesk Licensing Service - Autodesk - H:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - H:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - H:\Program Files\Spyware Doctor\sdhelp.exe

[Malekal_morte]

Sur HijackThis, coche ces lignes :

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{379DD302-03EE-49D7-9049-BF847925D995}: NameServer = 85.255.116.126,85.255.112.119

 

--> clic sur fix checked

 

 

Télécharge FixWareout LonnyRJones de d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HiJackThis.

 

Puis :

 

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

 

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

 

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

[bullbizar]

Bonjour,

 

Tout d'abord, je voudrais m'excuse pour ce retard.....j'étais parti en log week-end. C'est le PC du bureau.

 

Il y'a un détail que j'ai omis de signaler, le PC en question partage une connection internet via un ecarte réseau avec mon autre PC qui lui est connecté à un réseau d'entreprise .

 

Plus simple : J'ai une prise internet à laquelle est connecté un PC, à ce dernier j'ai ajouté une autre carte réseau pour connecter le 2eme PC que je veux analyser. Est-ce la procédure que tu m'as décrite est valable dans ce cas?

 

La ligne que tu m'as demandé de fixer est l'adresse par laquelle les deux PC sont reliés.

 

Je m'excuse, si je me suis mal expliqué; Néanmoins je reste à ta disposition pour toute information.

 

Merci encore et à bientot.

 

P.S : Le PC fonctionne bien, la connection est bonne; Je voulais juste m'assurer qu'il n'y a pas de signes d'infection.

Modifié le 1 avril 2007 par bullbizar

[Malekal_morte]

L'adresse HijackThis que je t'ai donné est un HijackThis DNS qui pointe vers une adresse Ukrainienne

Ceci permet entre autre des redirections lors des recherches Google, comme le montre sur lien : http://forum.malekal.com/ftopic2250.php

 

Prière donc de faire les manipulations demandées.

[bullbizar]

Bonjour,

 

Merci Malekal pour tes conseils; mais il s'est passé que la machine a complètement planté ce matin et j'ai opté pour la solution extrème que j'aurais du faire en héritant du PC......J'ai tout formaté et réinstallé l'OS ( Windows XP Pro ) ainsi que tous les logiciels que j'utilise.

 

Merci pour tout et bon courage dans tes oeuvres qui nous rendent de si fières services à nous les néophytes.

 

A bientot.

[Malekal_morte]

Elle a planté comment ?

[bullbizar]

Elle a planté comment ?

 

Bonjour,

 

Windows ne se chargait plus, il restait sur un écran bleu, meme en mode sans échec!! .

De plus, le collègue chez qui il était avait mis dessus 4 sessions pour 4 utilisateurs différents, c'est peut-etre ça qui a fait désordre; En tout cas, pour le moment le PC tourne super bien .

 

A bientot.

[Malekal_morte]

Pas du tout pour le nombre d'utilisateur.

Ca peut être un rootkit ou un prb matériel qui a occasionné ces plantages.