demande d'analyse de rapport Hijackthis

[philippea]

Bonjour,

mon pc ramait depuis quelque temps et en fait cela faisait un certain temps que je n'avais pas fait le ménage, lavasoft, antivirus, spybot, smitfraudfix, ont eu un resultat certain mais des refus d'accès à des sites internet à priori autorisés depuis ma station continuent de se produire pourriez vous m'aider à analyser ce log HIJACKTHIS s'il vous plait.

Merci d'avance.

Philippe.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:57:06, on 23/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\system32\NMSSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Motherboard Monitor 5\MBM5.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\lclock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Motherboard Monitor 5\DLL\display.dll

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\philippe\DOCUMENTS DIVERS\PROGRAMMES\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE de Rafu

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\PROGRA~1\INTERN~2\IEExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

[Gof]

Bonsoir philippea

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

lavasoft, antivirus, spybot, smitfraudfix, ont eu un resultat certain

As-tu conservé les rapport des passages des différents outils ?

 

Fais une recherche encore une fois avec smitfraudfix, afin de voir ce qu'il peut nous révéler :

 

Si tu l'as :

Si tu possèdes encore Smitfraudfix, double-clique sur smitfraudfix.cmd puis sélectionne l'option 4 afin de le mettre à jour. Enfin, fais une recherche, (option 1) et poste le résultat.

 

Si tu ne l'as plus :

1/Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.zip

2/ Dézipper la totalité de l'archive sur ton bureau.

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

[philippea]

Bonjour à toi Gof et merci de me répondre,

donc je récapitule, certains sites auxquels j'avait auparavant accès sont inaccessibles (message d'erreur).

Tu as le rapport hijackthis un peu plus haut.

VOICI UN RAPPORT OBTENU DEPUIS SMITFRAUDFIX :

 

SmitFraudFix v2.171

 

Rapport fait à 12:11:42,23, 25/04/2007

Executé à partir de C:\Documents and Settings\rafu\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\system32\NMSSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Motherboard Monitor 5\MBM5.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\lclock.exe

C:\Program Files\Azureus\Azureus.exe

C:\Program Files\Motherboard Monitor 5\DLL\display.dll

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\rafu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\rafu\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\rafu\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Intel® PRO/1000 MT Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.198.0.91

DNS Server Search Order: 212.198.2.51

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

ET VOICI EGALEMENT UN RAPPORT SMITFRAUDFIX CONCERNANT LE DNS JE NE SAIS PAS CEQUE C'EST) :

 

SmitFraudFix v2.171

 

Rapport fait à 12:12:36,70, 25/04/2007

Executé à partir de C:\Documents and Settings\rafu\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

 

Description: Intel® PRO/1000 MT Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.198.0.91

DNS Server Search Order: 212.198.2.51

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

 

Description: Intel® PRO/1000 MT Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.198.0.91

DNS Server Search Order: 212.198.2.51

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FE7B62A-E5D7-4910-ACF4-FE446AA5BD54}: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

 

ENCORE MERCI A TOI.

 

Philippe.

[Gof]

Bonjour philippea

 

Pas de soucis avec tes DNS. Le rapport smitfraudfix me l'a confirmé. Tu ne m'as pas dit si tu avais encore les rapports des précédents outils téléchargés. J'aimerais également que tu m'indiques quel est ton pare-feu.

 

certains sites auxquels j'avait auparavant accès sont inaccessibles (message d'erreur).

Peux tu indiquer le message d'erreur rencontré, le nom des sites ?

 

 

 

Copie-colle le texte suivant (sans le mot code) dans le bloc-notes:

copy C:\windows\system32\drivers\etc\HOSTS c:\hosts.txt
notepad c:\hosts.txt
del /q c:\hosts.txt

Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme lookhosts.bat sur le Bureau :
Nom: lookhosts.bat
Type: Tous les fichiers

Localise lookhosts.bat sur le Bureau (il aura cette icône -> ), double-clique dessus et poste le contenu du bloc-notes.

Quand tu fermeras le bloc-notes, la fenêtre CMD se fermera aussitôt et le fichier texte sera effacé.

 

 

 

Télécharge Blacklight (de F-Secure)

• clique sur "I ACCEPT" au bas de la page.
  
• Sauvegarde le sur ton Bureau.
  
• Double-clique blbeta.exe et accepte la licence
  
• Clique Scan puis Next
  Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse.
  NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe