[Resolu] Hijack sur le pc de ma mère

[TA-K-2-PT]

Salut,

 

Je me suis rendus compte que le pc de ma mère etait infecté par un Hijack.Du fait de nombreux bugs de souris,a une fréquence tres élevé (toutes les 2,3 sec.),ainsi que le changement de page de démarrage de firefox.

 

J'ai donc appliqué La Manip du forum Assiste.

 

J'ai de suite vu l'amélioration,par la correction de l'affichage de certaines fenetres,ainsi qu'une forte chute de la fréquence des bugs de souris.

 

Cepedant certains bugs de souris persistent,et j'ai au demarrage du pc une alerte du Tea Timer qui me demande si je veut suprimer du demarrage Spybot.

 

Ce qui me fait me demander si cette fenetre n'essaye pas tout simplement d'enlever le demarrage du Tea Timer.

 

Donc dans le doute je vous soumet un rapport Hijackthis (aprés avoir effectuer La Manip de Assiste),afin de completer correctement le netoyage.

 

Merci.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:01:10, on 02/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [spybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O24 - Desktop Component 0: (no name) - http://www.routard.com/images/titre_trait.gif

 

--

End of file - 5128 bytes

 

 

@++++

Modifié le 11 octobre 2007 par TA-K-2-PT

[Gof]

Bonjour TA-K-2-PT

 

Quel est le pare-feu sur ce pc ? Celui de windows ? Peux tu m'indiquer ta version de Spybot ?

 

As tu conservé les éventuels rapports des manipulations effectuées ?

 

En l'état ton rapport ne révèle rien d'inquiétant, hormis une restriction sur le registre que je pense attribuée à Spybot et son Teatimer.

[TA-K-2-PT]

Salut

 

Désolé pour le retard de ma reponse

 

Effectivement le pare feu est celui de windows,la version de spybot est la 1.4

 

Sinon non je n'ai pas conservé les rapport des manip.Ce que je peut dire c'est en effectuant La Manip d'assiste les programme pour detecter des hijack (miniremoval,cwshredder) n'ont rien trouvé sur le pc.

 

En fait il y a une seule manipulation que je ne peut pas faire c'est sfc /scannow,car le pc est ancien,récupuré du boulot de mon père.

 

Le windows est une version spécifique a son pc.Et je ne possède pas ce CD.

 

Donc c'est possible qu'un fichier windows est etait légerement modifié,mais le seul moyen est le formatage,donc enmener au magazin --->glingling sa coute des sous.

 

Bon en fait la gène n'est pas tres méchante,grace au tea timer la page de démarrage de firefox n'est jamais modifiée.Il persiste quelques bugs de souris,mais en vidant le cache dns sa permet de diminuer leurs fréquence.

 

Donc je verifie regulierement si il n'y a rien de plus grave et vide le cache assé souvent.

 

Je pense qu'en fesant ça sa devrait allé,je pensais qu'un rapport hijackthis pourrait éradiquer ce petit truc (car sa n'a pas l'air méchant).

 

Merci pour le temp que tu as passé a etudier le log hijackthis ,de ce que j'ai put comprendre sa se fait pas en 5 min.

 

@++++

 

PS: la restriction du registre est celle de AVG,j'y ai bloké l'accés.

Modifié le 11 octobre 2007 par TA-K-2-PT

[TA-K-2-PT]

Alors quelques news.

 

Donc apparement il y avait bien un hijack,car la page de demarrage de firefox ne se change pas toutes seule quand meme.

 

Les bugs de souris persistent,mais je viens de formater le pc --->

 

(j'avait pas realisé qu'avec mon cd de windows sp2,je pouvais booter avec celui ci et du coup effectuer sfc /scannow aussi.Je pensais qu'il fallait vraiment un cd spécifique a ce pc ,or non il y a le serial windows sous le pc portable).

 

---> et quelques bugs sont encore là.Je pense que sa vient du fait que l'ordi est vieux,pas puissant ,et a un pad a la place d'une vraie souris.

 

Donc l'hijack est néttoyé,car avant la fréquence des bugs etait vraiment toutes les 2 secondes,on ne pouvait bouger le curseur sans cliker sur un truc sans le vouloir.

 

Par contre j'ai un probleme pour trouver le pilote de la C.grahique.Je vous renvoit a ce topic pour ceux qui peuvent m'aider.

 

AIDE POUR PILOTE GRAPHIQUE

 

Merci d'avance

 

@+++

[Gof]

Bonjour TA-K-2-PT

 

Désolé de ne répondre que maintenant. C'était ton anniversaire à la date de ton dernier post il me semble, donc sur ce, bon anniversaire (à la bourre!)

 

Je t'avais indiqué que le HJT était propre en effet.

 

Les bugs de souris persistent,mais je viens de formater le pc

 

Solution extrême, mais sans doute a-t-elle été efficace. Un log HJT ne voit pas tout, on aurait pu poursuivre les investigations pour chercher la petite bête qui t'ennuyait. Tant pis, c'est fait.

 

Bon courage dans la recherche de ton pilote, à bientôt, bon surf

[TA-K-2-PT]

MERCIIIIIIIIIIIIIIIIIIIIIIIIII GOF pour le bon anniversaire :P

 

T'y etais presque je suis né le 15 octobre

 

Mais c'est l'intention qui compte c'est cool

 

@++++

[TA-K-2-PT]

Sinon je veut bien si sa te derange pas de continuer un peu la recherche d'un possible hijack,car les bugs de souris persistent.

 

Alor c'est possible que ce soit le pad qui comence a fatiguer,ou le fait que le pc n'est pas assé puissant et donc bug.

 

Mais c'est possible aussi que malgres le formatage l'hijack soit toujours la.

 

Donc j'aimerais bien poursuivre la verification,et en meme temp sa m'aprendra comment dans le futur,en cas de probleme similaire comment bien nettoyer tous ça.

 

Quelques precision:

 

Donc tous les programmes de La Manip on etait téléchargé et utilisé,rien n'as etait détecté.Vu que j'ai formaté tous les fichier windows on etaient réinstallés correctement.

 

Aucun virus,trojan,spy,ou autres.(a part peut etre l'hijack)

 

Donc voila ou j'en suit pour le moment.

 

J'ai aussi installé des soft de sécu comme avg,antivir personnal edition ,Spybot1.4,et le pare feu est celui de windows.

 

Voila par contre je doit te dire que peut etre que ces bugs sont uniquement duent a l'ancieneté du pc,donc c'est comme tu veut,soit on se lance dans une recherche apronfie,soit on laisse comme cela.

 

Car au final ce n'est pas tres dérangeant et surtout pas dangereux.

 

Merci

 

@++++

Modifié le 13 octobre 2007 par TA-K-2-PT

[Gof]

Re

 

Eh bien en fait, ce n'est pas que je ne veux pas, mais si tu as formaté tu as la quasi-certitude qu'il ne s'agit pas d'un problème infectieux, mais d'un souci d'une autre nature (software ou hardware).

 

Il est possible que ton souris de souris ne soit que la conséquence visible d'un autre souci. As tu résolu ton souci de pilote de carte graphique ?

 

Enfin, je te suggère d'essayer une autre souris, ou d'en récupérer une autre afin de la brancher afin de comparer les résultats.

[TA-K-2-PT]

Salut,

 

alors oui j'ai resolu mon probleme de pilote graphique,dans le forum hardware j'ai cré un topic.

 

En fait en passant par windows update le(s) pilote(s) on etait trouvé(s) sans probleme.

 

Sinon effectivement je pense que tu a raison et que c'est un probleme de souris ou de cartes.J'vais voir si j'ai pas une souris dispo,car les pad c'est pas que c'est chiant,mais un peu quand meme.

 

D'ailleur pour l'anecdote en cherchant les pilotes sur le net j'ai vu plein d'annonce pour vendre ce pc.

 

C'est claire qu'a l'époque ça devait etre un bon portable,mais maintenant les gens cherchent a s'en debarrasser,pour en acheter un plus performant.

 

Enfin bref c'est vrai que c'est peu etre pas la peine de se lancer dans une recherche pour rien,surtout que la géne est minime.

 

Voila merci

 

@+++++

 

PS: vais surveiller la date de ton anniversaire du coup

Modifié le 13 octobre 2007 par TA-K-2-PT

[TA-K-2-PT]

Salut,

 

Je dépoussiere ce topic pour demander quelque chose.

 

Suite a mon topic sur mes problèmes de connection,je me demande (parmit d'autre hypothèse) si il n'y aurait pas un hijack sur mon pc ou sur l'un des pc de chez moi.

 

Ce qui me fait dire ça,c'est que plusieur fois en allant sur des liens ou des sites (récement rapidshare,ou daylimotion et d'autres).

 

J'arrivais sur une page qui ne ressemble pas a la page du site,je rechargais la page et là j'avait le bon affichage du site.

 

Bon je pense que mes prog de secu permet que cet hypothétique hijack ne fonctionn pas a plein regime.

 

Donc je souhaiterai pousser la recherche d'un hijack sur mon pc.Je précise que j'ai effectué la Manip d'assiste,mais rien n'as etait détecté.

 

Je doit préciser aussi que la présence d'un hijack n'est qu'une hypothèse,donc peut etre cela ne donnera rien,mais j'aimerai quand meme éssayer.

 

Voila si quelqu'un veut bien m'aider dans cette manip serait sympa.

 

Merci

 

@++++

 

Complement : afin de vous donnez un ordre d'idée voila 3 screens lors d'une connection a daylimotion.Je précise que je n'ai pas touché l'extension No Script,j'ai juste recharger la page 2 fois.

 

-1ere connection :

 

 

- 1er rechargement de la page :

 

 

-2nd rechargement :

 

Modifié le 8 novembre 2007 par TA-K-2-PT