mon rapport, je suis nouveau

[lulu59]

Voila mon rapport d hijack, merci de m explqiuer ce que je dois enlever !

 

merci d'avance,

 

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:36:03, on 13/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\printer.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\WINDOWS\system32\LVComS.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 5737 bytes

 

 

 

Voila c tout, merci aux pros !

[Elipsons]

Bonsoir !

 

Utilises Spybot dans un premier temps avec sa mise à jour.

 

Télécharges CCleaner au cas où ....

 

Pour Spybot, internet coupé, fais une analyse, il va te montrer, les problèmes en premier à éradiquer !

 

Je suis ton sujet !

 

Fais cette manip ! Voir même en mode sans Echec si problèmes !

 

A+++

[Zonk]

Allo Lulu59

Bienvenue sur le forum

Ton ordi a des comportements bizarres...

.

http://forum.zebulon.fr/index.php?showtopic=83986

@+

Modifié le 13 septembre 2007 par Zonk

[Zonk]

Sn00ky

Désinstaller les deux antivirus n'est pas une très bonne idée...

...........alors Lulu59,reste à décider lequel des deux tu désires garder.......(si ton NOD32 est en version d'essai ou si ta licence expire,ou que tu préfère Antivir,alors je te conseille de le désinstaller ....et de garder Antivir)

http://tutopat.hostonet.org/viewtopic.php?t=2417

....et que ce soit l'un ou l'autre,un antivirus demande un désinstallation propre....

pour Antivir:

terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes

Pour NOD32 : fermer le(s) items dans le system tray se reliant à NOD32 et selon moi les processus de NOD32 dans le gestionaire de taches(on ne semble pas en parler dans les liens??)

http://www.eset.com/support/faq1.php?id=1070

http://antivirus.about.com/cs/tutorials/ht/nod32unin.htm

@+

Modifié le 14 septembre 2007 par Zonk

[Zonk]

Servent à quoi ces antivirus qui laissent passer WinAvXX ... à moins qu'elle n'en avait pas avant ... ce dont je doute.

 

D'autre part comme le pc est déjà vérolé ... lol

 

La procédure est suffisante pour le moment ...

Ça me fait penser à la situation suivante:

Penses tu être vraiment protéger si tu sors en plein champs de bataille muni d'armures ??meme en char d'assault ?

.....alors le comportement est sinon plus important que la protection...

on ne sait pas par ou est passer l'ordi de Lulu59...navigation à risque ?...mauvais paramètrage?absence de mise à jour? fatalité??etc...

@+

Modifié le 14 septembre 2007 par Zonk

[Zonk]

Faut arrêter la paranoia aussi ... de toute manière , si un nouvel intrus venait à s'inviter , on le verra bien à temps ...

Paranoia?? ou??

[Zonk]

Heu ... ben toi ... lol !

..j'ai l'impression que l'on s'égare...mais j'ai l'impression que ma comparaison représente ce que pense (en général) plusieurs membres...alors on est un bon nombre de paranos!

sujet clos!

[Thanos]

salut tout le monde,

 

snOOky, tu as bien détecté l'infection et préconisé le bon outil. Ceci dit :

Il y a une autre infection sur le pc dont on va s' occuper avec un autre utilitaire.

 

Il est inutile de faire fixer les lignes avec hijackthis (tu as oublié la ligne F2 au passage ), SmitFraudFix va s'en charger.

D'une manière générale, il est préférable de laisser l'utilitaire faire son travail et de fixer ensuite avec hijackthis si nécéssaire.

 

La seule ligne que je fais fixer avec hijackthis est la suivante >

 

Lulu59 : démarre Hijackthis et clique sur la case "Do a system scan only",puis coche la ligne suivante :

O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

Je rebondis sur ceci >

Empilage d'antivirus , une fois de plus ...

 

désinstalle Antivir , Nod32 et avg antispy , histoire de repartitr sur une base saine ...

 

 

Désactive la restauration système.

Oui il y a un antivirus de trop. D'accord avec zonk :à mon avis conserver Antivir qui est plus performant et désinstaller Nod32.

Antivir a peut être été installé après l'infection! ce qui expliquerait qu'il n'ait pas pû empêcher l'infection de s'installer.

L'équipe Avira est très réactive quand aux nouvelles menaces.

 

Non pour ce qui est de la restauration système! : si jamais un problème survient lors de la désinfection, on est toujours bien content de pouvoir restaurer à une date antérieure! (ca arrive parfois malheureusement) La restauration n'est à désactiver, puis réactiver qu'en toute fin de procédure : c'est une sortie de secours en cas de besoin.

 

Pour conclure, Lulu59 : passe SmitFraudFix comme ceci >

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

@+

Modifié le 14 septembre 2007 par charles ingals

[lulu59]

Voila comme on m'a demandé, avec Smirt ce que ça donne mon rapport,

 

 

 

 

 

 

 

 

 

 

SmitFraudFix v2.195

 

Rapport fait à 7:42:17,35, 14/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\printer.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\WINDOWS\\system32\\systems.txt"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: 3Com Gigabit LOM (3C940) - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0DEAB00C-E403-4CBD-A0C6-5B1E5D1D857A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0DEAB00C-E403-4CBD-A0C6-5B1E5D1D857A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\..\{0DEAB00C-E403-4CBD-A0C6-5B1E5D1D857A}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

 

Sinon, quand vous parlez "de fixer avec hijackthis" ça veut dire quoi !!!!!!! supprimer la ligne ????

 

 

 

merci encore

[Thanos]

re!

 

lulu59, je te précisais bien >

Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.

Tu utilises actuellement la version v2.195 qui ne traite pas cette infection !!

Stp fais ceci afin de mettre SmitFraudFix à jour >

• Double clique sur SmitfraudFix.exe
  
• Choisis l'Option 4 (Mise à jour) puis valide
  
• Suis les invites jusqu'à la mise en place des MAJ.
  
• Une fois les Mises à jour installées :
  
• Choisis l'Option 1 (Recherche)
  
• Poste le rapport ici.
  

Voilà à qui ressemble l'écran lorsque la mise à jour a réussie >

 

Si jamais tu ne parviens pas à faire cette mise à jour, il faut éliminer le dossier SmitFraudFix ainsi que le fichier SmitFraudFix.exe (l'icone jaune). Après ca il faut retélécharger le programme afin d'obtenir la dernère version qui est actuellement la v2.223

 

Avec ceci, j'ai besoin de récupérer un fichier sur ton pc afin de pouvoir le faire analyser.Le but étant de traiter l'infection au mieux. (c'est rapide!) Suis bien les étapes.

 

1) Recherche ce fichier sur ton disque dur > C:\WINDOWS\sysdll.exe

Si jamais tu ne vois pas ce fichier, c'est parce qu'il est peut être caché! Dans ce cas, fais ceci puis recommence la recherche >

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

2) Fais un clic droit avec ta souris sur ce fichier et choisis dans le menu déroulant > Envoyer Vers > Dossier compressé > un fichier se nommant sysdll (au format zip) vient d'apparaitre dans le dossier C:\Windows.

 

3) Rends toi sur ce lien : http://www.mytempdir.com/.

• Clique sur Parcourir.
  
• Une fenêtre va s'ouvrir, pointe jusque sur le fichier ZIP que tu viens de créer.
  
• Clique sur Host it.
  
• Une nouvelle page va s'ouvrir.
  
• Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant sous cette indication : Link to the file:.
  
• Et le lien suivant, se trouvant sous cette indication : To remove this file from our server use this link:. Conserve le également de sorte de le retrouver facilement par la suite si on en a encore besoin.
  
• J'insiste pour que tu me fasses parvenir ces liens en privé, via le profil dans le forum. Ne poste pas ces liens ici.
  

Lorsque je t'aurais indiqué que j'ai obtenu ces fichiers, tu pourras supprimer le fichier .zip qui se trouve sur ton Bureau.

 

merci et n'hésite pas à demander en cas de souci.

Modifié le 14 septembre 2007 par charles ingals