Rapport Hijackthis pour analyse

[giofo]

Re,

 

Désolé de répondre si tard...

 

J'ai fait la manip avec ATF cleaner.

 

J'ai fait un scan en mode sans échec avec AVG AS et je n'ai pas eu de problème. Il faut que j'avais fait un scan cet après midi mais je n'avais pas asctivé les rapports.

 

Voici le rapport AVG AS effectué ce soir :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 21:52:28 19/10/2007

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

Fin du rapport

 

Merci

 

@+

 

Ps : si tu veux que je re-post un log de hijackthis, dis le moi

[Apollo]

Re,

 

Oui si tu veux bien car je dois vérifier une ligne 023 qui m'intrigue et j'ai besoin de contacter quelqu'un pour voir s'il s'agit d'un danger ou non.

 

Ne t'inquiète pas, à part cette ligne un peu douteuse, rien de néfaste sur ton ordi

[giofo]

Re,

 

Je pense que tu as des doutes sur cette ligne :

 

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)

 

Si c'est celle-ci, j'ai déjà essayé de la supprimer (et pas réussis).

J'avais posté un log de hijackthis sur le site http://www.hijackthis.de/fr et il me signalé cette ligne comme "méchante". Et à chaque fois elle revient.

 

Voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:30:09, on 19/10/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Documents and Settings\GIO\Bureau\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Program Files\a-squared Anti-Malware\a2service.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 5912 bytes

 

 

@+

[Apollo]

Re,

 

oui, en effet.

 

Est-ce que ton Windows est à jour dans tous ses correctifs?

Il peut aussi s'agir d'un reste d'une infection ancienne.

 

1/Télécharge sur ton bureau : Clean de Malekal_Morte

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.

Cela va créer un dossier clean.

Double-clic sur ce dossier clean, tu y trouveras plusieurs commandes.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

 

2/1 Télécharge:

 

* EScan -> ici

 

2 Installe-le et mets le à jour:

 

* double-clique sur le fichier "muave.exe" puis "éxécuter"

* une nouvelle fenêtre s'ouvre

* tape sous "Unzip to folder" -> C:\Bases puis clic sur "Unzip"

 

 

* le programme se lance, clic sur "Exit" et encore "Exit"

* ouvre C:\Bases

* double-clique sur le fichier "kavupd.exe"pour faire les mises à jour

* une fenêtre DOS apparaît, attends (2mn environ) jusqu'à l'apparition du message "Press any Key to continue" et appuis sur n'importe quelle touche du clavier pour fermer cette fenêtre

 

3 Imprime ce qui suit

 

 

B - ANALYSES

(tout ce qui suit doit être fait en mode sans échec)

 

 

1 Redémarre en mode sans échec: -> voir ici

 

 

2 Configuration et analyse avec EScan:

 

* A partir du poste de travail, ouvres le dossier C:\Bases

* Double clic sur le fichier "mwavscan.com"

* Coches toutes ces cases

 

 

* Clic sur "Scan Clean", le scan commence (il est très long, 1 à 2h!)

* lorsque le scan est terminé, tu verras le message "Scan Completed"

* Clic alors sur "OK", sur "Exit" et encore "Exit"

 

 

C - ENVOI du RAPPORT

 

 

Edition et envoi rapport EScan:

 

* Télécharges ceci en l'enregistrant dans C:\Bases

* A partir du poste de travail, ouvres le dossier C:\Bases

* Dézippes le dossier "findmwav.zip"

* Exécutes le fichier "findmwav.bat" qui vient d'être extrait

* Attends que la fenêtre noire qui vient de s'ouvrir disparaisse

* Celle ci va générer un log "found.txt" dans C:\Bases

* Copies/colles le rapport ici

 

 

PS: avant d'aller en mode sans échec, poste le rapport de Clean stp.

Modifié le 19 octobre 2007 par Apollo.01

[giofo]

Bonjour Apollo.01,

 

Une nouvelle fois merci de t'occuper de mon cas.

 

Comme tu me ledemandais hier voici le rapport de clean :

 

20/10/2007 a 10:09:47,60

 

*** Recherche des fichiers dans C:

 

*** Recherche des fichiers dans C:\WINDOWS\

 

*** Recherche des fichiers dans C:\WINDOWS\system32

C:\WINDOWS\system32\SpoonUninstall.exe FOUND

 

*** Recherche des fichiers dans C:\Program Files

*** Fin du rapport !

 

 

Je passe en mode sans echec pour l'analyse avec EScan.

 

@+

[Apollo]

Bonjour giofo,

 

Quand tu seras en MSE, fais ceci avant Escan:

 

- Ouvre le dossier Clean double-clic sur clean.cmd

- Choisis l'option 2 valide par entrée

- Un rapport sera généré. Sauvegarde-le pour le poster après le scan Kaspersky et le reboot.

[giofo]

Re,

 

Et Voici le rapport de EScan :

 

running from directory

C:\Bases

 

---------- MWAV.LOG

 

---------- MWAV.LOG

Sat Oct 20 10:35:09 2007 => File C:\Documents and Settings\GIO\Bureau\clean.zip tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

Sat Oct 20 10:35:34 2007 => File C:\Documents and Settings\GIO\Local Settings\Application Data\Mozilla\Firefox\Profiles\2wtk945y.default\Cache\3CD27B45d01 tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

Sat Oct 20 11:08:27 2007 => File C:\qoobox\Quarantine\C\Program Files\Hammer.dll.vir tagged as not-a-virus:AdWare.Win32.SecToolBar.f. No Action Taken.

 

---------- MWAV.LOG

Sat Oct 20 11:36:24 2007 => Total Number of Files Scanned: 46551

Sat Oct 20 11:36:24 2007 => Total Number of Virus(es) Found: 3

Sat Oct 20 11:36:24 2007 => Total Number of Disinfected Files: 0

Sat Oct 20 11:36:24 2007 => Total Number of Files Renamed: 0

Sat Oct 20 11:36:24 2007 => Total Number of Deleted Files: 0

Sat Oct 20 11:36:24 2007 => Total Number of Errors: 8

 

---------- MWAV.LOG

Sat Oct 20 10:21:27 2007 => Virus Database Date: 2007/09/04

Sat Oct 20 10:21:27 2007 => Virus Database Count: 403200

Sat Oct 20 10:29:43 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 10:29:43 2007 => Virus Database Count: 441411

Sat Oct 20 11:36:25 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 11:36:25 2007 => Virus Database Count: 441411

Sat Oct 20 11:36:38 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 11:36:38 2007 => Virus Database Count: 441411

[giofo]

Re,

 

Voici le rapport de Escan :

 

running from directory

C:\Bases

 

---------- MWAV.LOG

 

---------- MWAV.LOG

Sat Oct 20 10:35:09 2007 => File C:\Documents and Settings\GIO\Bureau\clean.zip tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

Sat Oct 20 10:35:34 2007 => File C:\Documents and Settings\GIO\Local Settings\Application Data\Mozilla\Firefox\Profiles\2wtk945y.default\Cache\3CD27B45d01 tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

Sat Oct 20 11:08:27 2007 => File C:\qoobox\Quarantine\C\Program Files\Hammer.dll.vir tagged as not-a-virus:AdWare.Win32.SecToolBar.f. No Action Taken.

 

---------- MWAV.LOG

Sat Oct 20 11:36:24 2007 => Total Number of Files Scanned: 46551

Sat Oct 20 11:36:24 2007 => Total Number of Virus(es) Found: 3

Sat Oct 20 11:36:24 2007 => Total Number of Disinfected Files: 0

Sat Oct 20 11:36:24 2007 => Total Number of Files Renamed: 0

Sat Oct 20 11:36:24 2007 => Total Number of Deleted Files: 0

Sat Oct 20 11:36:24 2007 => Total Number of Errors: 8

 

---------- MWAV.LOG

Sat Oct 20 10:21:27 2007 => Virus Database Date: 2007/09/04

Sat Oct 20 10:21:27 2007 => Virus Database Count: 403200

Sat Oct 20 10:29:43 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 10:29:43 2007 => Virus Database Count: 441411

Sat Oct 20 11:36:25 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 11:36:25 2007 => Virus Database Count: 441411

Sat Oct 20 11:36:38 2007 => Virus Database Date: 2007/10/20

Sat Oct 20 11:36:38 2007 => Virus Database Count: 441411

 

 

@+

[Apollo]

Re,

 

cela me semble bien court comme délai avec EScan! En général cela dure de une à deux heures et le rapport est aussi plus long en principe.

 

Tu n'aurais pas loupé une étape?

[giofo]

Re,

 

Je ne pense pas avoir loupé d'étapes avec EScan (il a duré une heure).

 

Je fais la manip avec clean (option 2) et je te post le rapport plus tard.

 

Dois-je refaire un scan avec EScan ?

Si oui, pour établir le rapport EScan dois-je le faire en Mode sans Echec ou en Normal ?

Comme j'ai déjà établi un rapport EScan, dois-je excécuter le fichier "findmwav.bat" directement ou dois-je refaire la manip pour "l'édition et envoi rapport Escan" que tu me disais de faire hier soir ?

 

@+