[résolu]suppression lignes rapport hijack

[goundroune]

Bonjour,

 

je voudrait savoir quel lignes je peux supprimer dans mon rapport hijack

 

svp

 

merci d'avance

 

Logfile of HijackThis v1.99.1

Scan saved at 18:01:33, on 22/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Opware15] "C:\Program Files\ScanSoft\OmniPage15.0\Opware15.exe"

O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - res://C:\Program Files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /300

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[wong]

Bonjour goundroune,

 

Avant de faire une optimisation, il est préférable de savoir si ton PC est sain ( qu'il n'héberge pas un malware ).

 

Connais-tu " gfxtray " ?

 

Pour une optimisation, la première chose à faire c'est de supprimer tous les processus inutiles qui se lancent au démarrage du PC :

• Clique sur Démarrer
  
• Clique sur Exécuter
  
• Dans la fenêtre qui s'ouvre : Tape msconfig et clique sur OK
  
• Dans la nouvelle fenêtre : clique sur l'Onglet " Démarrage "
  
• Dans la nouvelle fenêtre : Décohe toutes les cases SAUF : Antivirus - Firewall - Anti-spyware, et éventuellement " connexion "
  
• Clique sur OK
  
• Une nouvelle fenêtre s'ouvre pour te demander de prendre en compte les modifications : Clique sur le bouton Redémarrer
  
• Dans la nouvelle fenêtre qui va s'ouvrir ( Utilitaire de configuration système ) : Coche la case " ne plus afficher ce message ", et clique sur OK
  

Pas d'inquiétude : les cases que tu as décochées dans l'onglet Démarrage, tu pourras, éventuellement, les recocher par la suite si cela ne te conveint pas ( en reprenant la procédure indiquée ).

 

Le cas de ctfmon.exe : Pour pouvoir supprimer ctfmon.exe au démarrage, tu dois faire avant :

Panneau de configuration > Options régionales et linguistiques > Langues > Détails > Barre de langue > Cocher la case " Arrêtez les services de texte avancés ".

Après tu peux décocher la case dans l'Onglet "Démarrage" de msconfig.

 

 

 

Ensuite tu configures tes services en te servant du tuto de Tesgaz ( bien lire les commentaires ) :

http://speedweb1.free.fr/frames2.php?page=service4

 

Pour accéder aux Services, voici 2 solutions :

 

1°) Démarrer > Exécuter et tape : services.msc

 

2°) Démarrer > Panneau de configuration :

• Double-clique sur " Outils d'administration "
  
• Double-clique sur " Services "
  

Dans la fenêtre qui s’affiche, tu as accès aux services présents sur ton PC :

• Double-clique sur le Service dont tu veux modifier le démarrage.
  
• Dans la fenêtre qui s'ouvre, tu as les possibilités suivantes :
  1°) Arrêter ce service en cliquant sur le bouton " Arrêter "
  2°) Modifier le démarrage en cliquant sur la petite flèche de la fenêtre " Type de démarrage " ( menu déroulant ).
  
• Une fois ton choix effectué : Clique sur OK
  
• Clique sur le bouton " Appliquer " ( pour prendre en compte tes modifications ).
  
• Clique sur OK
  
• Clique sur " Fichier " dans la barre des menus.
  
• Clique sur " Quitter "
  

Redémarre ton PC.

 

Dans le doute sur un service, tu le mets en Manuel.

 

Cordialement.

[goundroune]

merci Wong

 

gfxtray connait pas !! ( c'est grave )

 

sinon j'ai fait modif dans msconfig et dans services !!

[wong]

Bonjour,

 

gfxtray : Fais une recherche sur Google, tu devrais trouver.

 

Dans le Gestionnaire de tâches, tu devrais avoir entre 23 et 27 processus ( selon ce que tu as laissé dans les services ).

 

Est-ce que ton PC marche mieux ?

 

Cordialement.

[goundroune]

bonjour et merci pour ton aide

 

en effet je possede 29 processus

 

quant à gfxtray je ne le possede pas dans gestionnaire tache et processus

 

merci

 

le PC demarre nettement plus vite

d'autre chose sont a faire pour l'optimiser encore ??

[angelique]

Mauvaise idée que de faire decocher dans msconfig /demarrage sans avoir auparavent maitrisé l'infection, elle sera toujours presente, certe non active au boot mais là!!!

 

cette ligne est bien infectieuse:

O4 - HKLM\..\Run: [gfxtray] rundll32 ctccw32.dll,findwnd

 

C:\WINDOWS\system32\ctccw32.dll

[DETECTION] Is the Trojan horse TR/Drop.Agen.ru.2.A

 

Il va falloir que tu recoches cette ligne dans msconfig/demarrage pour pouvoir maitriser l'infection ensuite :

 

donc tu lance HJT "do a system scan only" et tu coches et clic fixchecked cette ligne

 

puis tu vas en executer---> %systemroot%\system32\

supprimer si restante ctccw32.dll

(peut etre necessaire d'afficher dossiers et fichiers cachés)

 

__________________________

 

Un conseiller securité te demandera d'autres manœuvres certainement, je n'ai pas le temps en ce moment ;o)

[wong]

Bonjour angelique,

 

Tu as bien fait de me reprendre ( je n'ai pas tes compétences ).

 

Mais j'avais noté :

Avant de faire une optimisation, il est préférable de savoir si ton PC est sain ( qu'il n'héberge pas un malware ).

 

Effectivement j'aurais du lui indiquer de poster son log HijackThis sur le forum approprié.

 

Cordialement.

 

EDIT : goundroune a posté le 22.06.2007 son rapport sur le forum : Analyse rapports HijackThis, mais je vois qu'il n'a pas été jusqu'au bout.

Modifié le 25 juin 2007 par wong

[goundroune]

bonsoir

 

merci Angelique, j'ai fait ce que tu disais et j'ai supprimé

 

Wong : je n'ai pas abandonné mon post du 22.06.07 ; je ne demande pas de l'aide en postant sur un forum pour que quelques jours plus tard je l'abandonne !!

Cordialement

 

par avance merci

[wong]

Bonsoir goundroune,

 

Je ne te fais aucun reproche ( je me permettrais pas ).

 

Tu peux très bien avoir suivi une autre procédure.

 

De toutes façons, comme l'indique angélique, tu peux recocher la case.

 

Je ne connaissais pas ce fichier, c'est pourquoi je t'ai posé la question.

 

Cordialement

[goundroune]

bonjour

 

pas de soucis Wong

 

je suis sur l'eradication du malware et reviendrait pour l'optimisation ensuite

 

A+