Analyse log hijackthis [RESOLU]

[Gof]

Bonsoir bullbizar

 

Dommage que tu n'ais pas conservé les précédents rapports de ton auto-désinfection. Le rapport Smitfraudfix en option 1 ne révèle rien.

 

Maintenant que tu as l'habitude, peux tu procéder à une analyse en mode sans échec avec AVG AS (après l'avoir mis à jour bien entendu) et me poster le rapport je te prie ?

 

Tu joindras également un nouveau log Hijackthis

[bullbizar]

Bonjour Gof,

 

Suite à tes recommandations, que j'ai exécuté sauf que AVG refusait de m'enregistrer le rapport en fin d'analyse!!!! , bizarre.

Néanmoins, j'ai recopié la liste de la quarantaine si ça peut aider :

C:\System Volume Information infecté par Backdoor.Rbot.bvz

C:\Documents and Settings\All Users\Documents\GameSetup.exe infecté par Worm.Delf.bd

C:\Windows\System32\msinnt.exe infecté par Backdoor.Rbot.bvz

 

De plus, maintenant en cliquant pour ouvrir une page firefox ou explorer, il s'en ouvre 3 ou 4.

 

Pour le log Hijackthis, pas de souci.

 

Logfile of HijackThis v1.99.1

Scan saved at 08:22:55, on 12/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE229307-5981-4A3E-9978-C58E11C07DC1}: NameServer = 213.177.160.1 213.177.160.2

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

Bonne analyse Gof et surtout MERCI BEAUCOUP.

[Gof]

Bonsoir bullbizar

 

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

 

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  

Redémarre en mode normal et poste le rapport.

[bullbizar]

Bonsoir Gof, Toutes et tous,

 

Ci-joint après le rapport demandé; Je t'en souhaites une bonne lecture et te dit : " A bientôt mon Ami .

 

SDFix: Version 1.104

 

Run by PC on 13/09/2007 at 20:21

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\DOCUME~1\PC\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\system32\TFTP2532 - Deleted

C:\WINDOWS\system32\TFTP3080 - Deleted

C:\WINDOWS\system32\TFTP2544 - Deleted

C:\WINDOWS\system32\TFTP3456 - Deleted

C:\WINDOWS\system32\TFTP1592 - Deleted

C:\WINDOWS\system32\TFTP2668 - Deleted

C:\WINDOWS\system32\TFTP3300 - Deleted

C:\WINDOWS\system32\TFTP184 - Deleted

C:\WINDOWS\system32\TFTP3580 - Deleted

C:\WINDOWS\system32\TFTP2408 - Deleted

C:\WINDOWS\system32\TFTP2560 - Deleted

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-13 20:36:14

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

Bonne soirée Gof.

[Gof]

Bonjour bullbizar

 

Je pense que les symtômes ont du disparaitre suite au passage de Sdfix. Peux tu me le confirmer, et si non, me préciser quels sont ceux qui persistent ?

 

C:\Documents and Settings\All Users\Documents\GameSetup.exe infecté par Worm.Delf.bd

C:\Windows\System32\msinnt.exe infecté par Backdoor.Rbot.bvz

J'aimerais que tu t'assures que ces fichiers aient été traités par AVG AS lors de l'analyse, et qu'il n'a pas fait que les détecter. Peux tu vérifier s'ils sont toujours présents ? Auquel cas, supprime les si tu les trouves.

 

Peux tu effectuer une analyse en ligne, et joindre en plus de ce rapport d'analyse, un nouveau log HijackThis ?

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Aide toi de ce tuto de Malekal_mortesi tu n'y arrives pas : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566.

[bullbizar]

Salut Gof,

 

Effectivement, les syndromes ont disparu.......et c'est tant mieux.

 

Pour les fichiers infectés, ils ont été mis en quarantaine et supprimé par AVG; Pour ce qui est de l'analyse online avec Kaspersky, désolé mais je n'ai plus d'internet sur le PC en question, j'ai résilié le contrat comme je te l'avais déja dit.

Dorénavat, il leur servira pour leur études et des jeux sur CD les WE.

 

Mais, je reste toujours fidèle à Zébulon, sur le quel je me connecte de mon travail tous les jours pour etre à la page et etre aussi informé des nouveautés : bonnes ou mauvaises.

 

Je te remercie pour ton aide si précieuse, ta disponibilité et surtout ta gentillesse.

Un grand merci à toi et à toute l'équipe qui permet à ce site de vivre et de s'enrichir chaque jour un peu plus, au grand bonheur des néophytes dont je fais partie.

 

Au plaisir de te lire, je te souhaite une excellente soirée.

 

MAMI

 

P.S : En fonction de ta réponse, j'éditerais mon post pouy y apposer éventuellement la mention [RESOLU].

[Gof]

Bonsoir bullbizar

 

Je te conseille donc de supprimer les outils que l'on a utilisés et les différents rapports associés. Si tu as besoin que je détaille pas de soucis.

Tu as deux antimalware à présent, assure toi que les 2 résidents ne soient pas activés en même temps, sinon il y a risque de disfonctionnements.

 

Si tu constates des soucis n'hésite pas à relancer le sujet. A bientôt

[bullbizar]

Bonsoir bullbizar

 

Je te conseille donc de supprimer les outils que l'on a utilisés et les différents rapports associés. Si tu as besoin que je détaille pas de soucis.

Tu as deux antimalware à présent, assure toi que les 2 résidents ne soient pas activés en même temps, sinon il y a risque de disfonctionnements.

 

Si tu constates des soucis n'hésite pas à relancer le sujet. A bientôt

 

 

Bonjour Gof ,

 

Pas de soucis, je vais supprimer les différents outils ainsi que les rapports générés :P .

 

Pour la protection contre d'éventuelles contaminations via des CD ou clés usb, je vais garder actifs : KERIO, NOD 32 et AVG.

 

Merci encore pour tout Gof :P et au plaisir de te lire ou...........te voir.