[Résolu] Rapport HijackThis

[eclypse]

Salut

 

 

VirusTotal

• Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien
  
• Fais analyser les fichiers suivants :

  C:\WINDOWS\system32\ChCfg.exe
  C:\WINDOWS\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
  C:\WINDOWS\NirCmd.exe
  C:\WINDOWS\system32\tmp.reg

  sur VirusTotal
  
• Copie/colle le résultat.
  

 

VundoFix (Atribune)

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; cliques OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

VirtuMondoBeGone ()

 

Télécharges VirtuMondoBeGone (de ...) :

• Execute-le puis clique sur continue puis sur start
  
• Le soft t'indique qu'il redemarrera ton système s'il trouve une infection, répondre alors sur OUI
  

@+

[Hiéronymous]

Salut.

 

Pour C:\WINDOWS\system32\ChCfg.exe et C:\WINDOWS\system32\tmp.reg Yirus Total ne trouve rien.

Pour C:\WINDOWS\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}, il me signale que sa taille est nulle

et voici le rapport pour C:\WINDOWS\NirCmd.exe :

AhnLab-V3 2007.9.18.0 2007.09.18 -

AntiVir 7.6.0.10 2007.09.18 -

Authentium 4.93.8 2007.09.18 -

Avast 4.7.1043.0 2007.09.17 -

AVG 7.5.0.485 2007.09.17 -

BitDefender 7.2 2007.09.18 -

CAT-QuickHeal 9.00 2007.09.17 -

ClamAV 0.91.2 2007.09.18 -

DrWeb 4.33 2007.09.18 -

eSafe 7.0.15.0 2007.09.17 -

eTrust-Vet 31.1.5142 2007.09.17 -

Ewido 4.0 2007.09.17 -

FileAdvisor 1 2007.09.18 High threat detected

Fortinet 3.11.0.0 2007.09.18 -

F-Prot 4.3.2.48 2007.09.17 -

F-Secure 6.70.13030.0 2007.09.18 -

Ikarus T3.1.1.12 2007.09.18 -

Kaspersky 4.0.2.24 2007.09.18 -

McAfee 5121 2007.09.17 -

Microsoft 1.2803 2007.09.18 -

NOD32v2 2536 2007.09.18 -

Norman 5.80.02 2007.09.18 -

Panda 9.0.0.4 2007.09.17 Application/NirCmd.A

Prevx1 V2 2007.09.18 -

Rising 19.41.12.00 2007.09.18 -

Sophos 4.21.0 2007.09.18 NirCmd

Sunbelt 2.2.907.0 2007.09.15 -

Symantec 10 2007.09.18 -

TheHacker 6.2.5.061 2007.09.17 -

VBA32 3.12.2.4 2007.09.18 -

VirusBuster 4.3.26:9 2007.09.17 -

Webwasher-Gateway 6.0.1 2007.09.18 Riskware.NirCmd.1

[Hiéronymous]

Concernant VundoFix et VirtuMondoBeGone, les scanners ne donnent rien... Je crois que ça va mieux, le scan Antivir en mode sans échec ne me signale plus que le Trojan Fotomoto, et une application de type Nir.cmd... Pour cette dernière je pense que c'est lié à la présence de fixwareout sur mon disque, je l'efface et je rescan pour voir...

 

Merci et...

...Tchoo

Modifié le 18 septembre 2007 par Hiéronymous

[eclypse]

Salut

 

Peux tu reposter un log hijackthis et faire un scan bitdefender on line ici uniquement par IE

 

@+

[Hiéronymous]

Voilà pour le rapport de Hijack This :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:05:19, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijack This\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\xfire.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 5160 bytes

[Hiéronymous]

Salut, Bitdefender n'a rien trouvé... Tout à l'air clean pour le moment (le scan antivir ne donne rien non plus)... Je te tiens au courant...

 

Merci encore pour ton aide précieuse et bonne continuation

 

Tchooo