Rapport d'HijackThis pour analyse 1/2

[chrissteele]

Bonjour,

 

Comme demandé par angelique, voici le rapport ci-dessous.

 

Merci d'avance pour votre aide

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:02:49, on 17/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\stsystra.exe

C:\WINDOWS\system32\WLTRAY.exe

D:\outils\Conjugaison\conjLauncher.exe

C:\Program Files\NSLU2 Flash Map Utility\StorageLink.exe

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Cobian Backup 8\Cobian.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\Cobian Backup 8\cbInterface.exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [Conjugaison] D:\outils\Conjugaison\conjLauncher.exe

O4 - HKLM\..\Run: [NSLU2 Flash Map Utility] C:\Program Files\NSLU2 Flash Map Utility\StorageLink.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-329068152-725345543-682003330-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-329068152-725345543-682003330-1003\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe (User '?')

O4 - HKUS\S-1-5-21-329068152-725345543-682003330-1003\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe" (User '?')

O4 - HKUS\S-1-5-21-329068152-725345543-682003330-1003\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-21-329068152-725345543-682003330-1003 Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe (User '?')

O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} - http://support.euro.dell.com/systemprofiler/SysPro.CAB

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 8865 bytes

[chrissteele]

Bonjour,

 

Comme demandé par angelique, voici le rapport ci-dessous.

 

Merci d'avance pour votre aide

 

09/17/07 13:05:25 [info]: BlackLight Engine 1.0.64 initialized

09/17/07 13:05:25 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/17/07 13:05:26 [Note]: 7019 4

09/17/07 13:05:26 [Note]: 7005 0

09/17/07 13:05:32 [Note]: 7006 0

09/17/07 13:05:34 [Note]: 7011 756

09/17/07 13:05:34 [Note]: 7026 0

09/17/07 13:05:35 [Note]: 7026 0

09/17/07 13:05:37 [Note]: FSRAW library version 1.7.1022

09/17/07 13:12:22 [Note]: 2000 1012

09/17/07 13:13:28 [Note]: 7007 0

Modifié le 17 septembre 2007 par chrissteele

[chrissteele]

Quelqu'un peut m'aider svp ?

 

Merci d'avance pour votre réponse.

[chrissteele]

up

[eclypse]

Salut

 

En attendant qu'Angelique ne revienne tu peux deja faire cette procedure :

 

 

SmitFraudFix (S!Ri)

 

Télécharge SmitFraudFix de "S!Ri"

• Décompresse la totalité de l'archive sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.
  
• Sauvegarde ce rapport et postes-le
  

@+

[chrissteele]

Bonjour,

 

J'ai téléchargé l'outil et au moment de le dézipper, nod32 m'avertit d'une menace et met le fichier Process.exe en quarantaine.

La menace annoncée est Win32/PrcView application.

 

Je fais quoi ?

Est-ce vraiment une menace ?

 

Merci d'avance pour votre réponse.

[eclypse]

Non ce n'est pas une menace desactive ton antivirus le temps du dezippage

 

@+

[chrissteele]

C'est ce que je viens de faire, désactivation de l'antivirus et parfeu pour dézippage mais ce fichier Process.exe pose problème.

Je dézippe tout sauf lui et quand je le dézippe je vois qu'il apparaît de le repertoire puis disparait aussitôt comme s'il était immédiatement effacé....

étrange non ? avez vous une idée ?

[eclypse]

Re

 

 

 

 

 

Quelle est la fonction d'AMON ?

 

AMON est un moniteur antivirus résident en mémoire qui, une fois activé, analyse automatiquement et en temps réel tous les fichiers avant qu'ils ne soient ouverts, exécutés, renommés, etc. En outre, il vérifie immédiatement le secteur d'amorçage des disquettes au premier accès. L'analyse tire profit des méthodes de détection standards et améliorées, basées sur l'utilisation des signatures virales et de l'heuristique.

 

Il est vivement recommandé de conserver AMON activé en permanence. Le désactiver expose fortement votre ordinateur aux infiltrations virales.

 

 

 

Comment désactiver temporairement AMON ?

 

Certains programmes peuvent requérir la désactivation de la protection antivirus résidente durant leur phase d'installation. Lorsque vous désactivez AMON, vous exposez fortement votre ordinateur aux infiltrations virales. Par conséquent, désactivez AMON seulement le temps nécessaire, n'installez aucun programme dont la source n'est pas fiable, et n'oubliez pas de réactiver AMON dès que possible.

 

Pour désactiver temporairement AMON :

 

• Ouvrez la fenêtre principale du Control Center, en cliquant sur l'icône blanche et verte , située dans la barre des tâches

 

• Cliquez sur AMON dans le groupe Modules

 

• Dans la fenêtre de droite qui s'ouvre alors (dénommée AMON), décochez la case située devant l'option « Module résident (AMON) activé »

 

• La désactivation d'AMON modifiera la couleur verte originale de l'icône, située dans la barre des tâches, en rouge :

 

@+

 

Eclypse

[angelique]

j'ai un peu suivi le sujet depuis le debut qui commence ici:

 

http://forum.zebulon.fr/index.php?showtopic=130209&hl=

 

 

**Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

 

http://www.atribune.org/ccount/click.php?id=4

 

Double-clique VundoFix.exe afin de le lancer.

.

Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt et reposte un nouveau rapport HJT