[RÉSOLU] Rapport HijackThis suite à infections SVP

[Sacros]

Bonjour,

Hier antivir à découvert deux "contains detection pattern"

Quelques problème pour diriger l'OS "XP Pro SP2".

Merci de bien vouloir examiner le rapport.

J'ai le scan Antiv fait en mode sans échec à votre disposition si besoin.

Merci pour votre réponse.

Ð

 

Bonjour,

Hier antivir à découvert deux "contains detection pattern"

Quelques problème pour diriger l'OS "XP Pro SP2".

Merci de bien vouloir examiner le rapport.

J'ai le scan Antiv fait en mode sans échec à votre disposition si besoin.

Merci pour votre réponse.

Ð

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at --- Ð --- 13:35:40, on 23/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Windows Defender\MSASCui.exe

D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\netdde.exe

D:\Program Files\IcoSauve\IcoSauve.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\clipsrv.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\tlntsvr.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\WINDOWS\system32\cidaemon.exe

D:\HiJackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NET SACROS

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [uberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen] "D:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: IcoSauve.lnk = D:\Program Files\IcoSauve\IcoSauve.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1191746421437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1191825686859

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 8435 bytes

Modifié le 30 novembre 2007 par Sacros

[Zonk]

Allo Sacros

C'est un bon "move " de faire tes scans en sans échec

 

........mais as tu appliquer le pré-nettoyage ??

http://forum.zebulon.fr/index.php?showtopic=83986

.....c'est préférable....

avec mon oeil d'ultra novice très amateur,je ne vois rien qui semble "infection" dans ton rapport....mais je ne suis pas la référence...donc attend le verdique des pros avant de te réjouir.....

 

je vois WinPatrol que je ne connais pas...est ce antispyware ???si oui,offre t'il une proection en temps réel???

....si oui,alors la question ci-bas inclura WinPatrol...

Question :

-Windows Defender

-AVG antispyware

Question: est ce que ton AVG Antispyware est en version complète?? (soit en version d'essai complète non terminée d'une durée de 30 jours ou licence achetée )

si ton AVG est " version complète" alors tu devras ,soit ôter la protection en temps réel (bouclier résident) de celui-ci ou supprimer Windows Defender

Demeure que mes lectures ici semble favoriser AVG au détriment de WD,qui fait selon moi un travail honnête.

Donc si tu as l'intention de ne pas prendre la licence de AVG,je te conseille simplement d'ôter la protection en temps réel durant la période d'essai (bouclier résident)...et à la fin de celle-ci Windows Defender sera une bonne protection et AVG un bon scanner.

si les deux protections en temps réel tournent ensemble ça n'aide en rien pour la stabilité et les performances de l'ordi......mais n'oublie pas que si tu n'achète pas la licence ,alors dans un max de 30 jours tu n'auras plus cette protection......alors ça sera régler......

@+

Modifié le 23 novembre 2007 par Zonk

[Sacros]

Salut Zonk comment va ?

 

C'est sur un autre PC aujourd'hui. 2,4Go, l'autre 733 MHz. C'est pour cela que j'ai pu me permettre. Le nettoyage à été fait avant et plus que complet. J'ai le scan en sans échec.

Mais voilà que je suis parti faire un tour, et mon gars à mis des clefs USB pour copier coller quelques mp3.

Quand il a mis ses clefs, antivir à découvert des Worms: 1 sur chaque clef. Ils proviennent de l'aurorun. les scan sur les clefs n'ont rien trouvé.

Si tout va mal, veux tu le scan antivir que j'avais fait avant, en même temps que l'HJT.

Je referais la même chose si il y a danger ou risque. Qu'en pense-tu ?

 

En ce qui concerne les antispywares: Windows Defender tourne, mais avg n'est pas résident.

 

Par contre, Win patrol contrôle beaucoup de choses,worms,trojans, cookies etc......je te mets la déscription de chez Clu....

 

 

 

De chez CLU....COM

 

"WinPatrol est le type même d'utilitaire dont on aimerait bien disposer en standard avec Windows. Il donne accès dans une seule et même interface à la plupart des points sensibles de Windows, fréquemment "squattés" par les logiciels espions et autres "malwares".

 

Grâce à 8 onglets, on accède aux rubriques suivantes du système :

- La liste des programmes qui se lancent au démarrage de Windows : Le bouton "info" donne des détails sur l'éditeur du logiciel et on supprime ou suspend temporairement un programme simplement.

- Les extensions Internet Explorer (IE Helpers) : Celles-ci sont souvent utilisées par les spyware pour diffuser de la publicité.

- Tâches planifiées

- Services : Les services Windows sont des applications qui se lancent automatiquement au démarrage de Windows. Il peut être pertinent de vérifier qu'aucun logiciel inutile ou dangereux ne s'y est logé.

- Active tasks : Affiche toutes les application en cours d'exécution, y compris celle qui sont masquées. Un clic sur le bouton "Kill Task" suffit à en fermer une.

- Les cookies (Internet Explorer et Mozilla et compatibles supportés)

- Les extensions de fichiers et leurs associations

 

WinPatrol enregistre aussi les changements apportés à la page de démarrage de Windows, à la page de recherche et au fichier hosts."

 

 

 

" Avis de la rédaction :

Bien que l'accès à la plupart des zones traitées par Winpatrol puisse aussi se faire par une fonction de Windows, cette version gratuite de Winpatrol est un excellent outil de départ pour vérifier rapidement qu'une machine ne contient pas de spyware et y faire le ménage, le cas échéant. "

 

Je crois que je devrais enlever Windows Defender ????

 

Merci pour tes réponses et à plus...;

Ð

[Sacros]

Re...

Consterné......je viens de m'apercevoir que les gamins m'ont refilé: 2 autorun.inf, 2 bittorent.exe, avec ce worm/RJUMP.E et WORM/RJUMP.C1....Dégouté.....

Merci pour l'aide que je pourrais avoir......Tout à refaire....à demain...........

Ð

[Zonk]

WinPatrol ne semble pas interféré avec Windows Defender....donc ne supprime rien...

Je dois t’avouer que je suis confus dans l’histoire du pc x et y et de la présence de Antivir…car je ne vois qu’Avast…..

 

Avast perd des plumes !!... passe à Antivir

http://forum.zebulon.fr/index.php?showtopic=127217

 

idéalement de stopper les processus Avast antivirus avant la suppression par ajout /Supp de prog.

,voici selon moi des processus Avast antivirus a stopper par le gestionnaire de taches:

 

En faisant simultanément les touches Alt + Ctrl + Suppr ou

- Clic droit dans la barre des taches de votre bureau et ensuite / gestionnaire de taches

- Ou pour faire plus pro, Démarrer /Exécuter et tapez taskmgr

avant la suppression de Avast antivirus.,voici les processus à terminer

 

-AshDisp.exe

-Asmaisv.exe

-ashserv.exe

-ashwebsv.exe

-aawservice.exe

-aswupdsv.exe

 

en cas de problème lors de la désinstallation

http://www.avast.com/fre/avast-uninstall-utility.html

 

Antivir Classic

http://www.free-av.com/

gratuit et performant

Tuto ..à toi de choisir

http://www.libellules.ch/tuto_antivir.php

http://tutopat.hostonet.org/viewtopic.php?t=2417

 

ensuite ceci:

http://forum.zebulon.fr/index.php?showtopic=83986

ce n'est qu'un pré-nettoyage....ça fait une belle job...

 

Quel est ton pare-feu???active celui de XP ...essentiel....es tu derrière un routeur??

 

Quand tout sera désinfecter......ca presse pas pour ce qui suit :

...Pour savoir si tu as des programmes non-sécures coté version (j'en vois déjà ....)

http://secunia.com/software_inspector/

et coche la petite case à

 

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

 

suite au résultat tu n'as qu'a suivre à la lettre les recommandations (facile)

 

Quand tu auras tout fini,alors pense à aller sur le forum "Optimisation"...colle un nouveau HJT et attend les bonnes nouvelles

.

Modifié le 23 novembre 2007 par Zonk

[Apollo]

Bonsoir,

 

A lire: http://forum.zebulon.fr/index.php?showtopic=131959

Télécharge Flash_Disinfector.exe de sUBs et enregistre-le sur ton bureau.

Connecte tous les supports amovibles susceptibles d'avoir été infectés .

 

Double-clique dessus et laisse-toi guider.

 

- Clean.zip enregistre-le sur le bureau, fais un clic droit dessus et "extraire ici". Tu auras un dossier "Clean".

 

Redémarre le pc en mode sans échec Ouvre le dossier clean qui se trouve sur ton bureau, et double-clique sur clean.cmd, une fenêtre noire, choisis l'option 2 et laisse-toi guider.

 

Ensuite seulement, relancer AVG AS, toujours en mode sans échec et faire une analyse complète de l'ordinateur. N'oublie pas de sauvegarder le rapport APRES avoir cliqué sur "Appliquer toutes les actions".

 

Reposte un log Hijackthis fait en mode normal.

Poste les rapports AVG AS et HJThis stp.

Modifié le 23 novembre 2007 par Apollo.01

[Sacros]

Bonsoir Apollo.01, à toi aussi Zonk.

Zonk, merci pour Scotty '(que j'aime bien), Comme cela je suis bien. Pas de problèmes §§§§§§§§§§§§§§§§§§§

Mais fais un copier coller pour le reste de ta réponse HI.... je n'ai pas Avast...

1 Pc PIII et 1 Pc PIV configurés de la même manière.....

Là je suis sur PIV..merci et au plaisir de te revoir....Ciao. et merci.

 

Apollo, Je te remercie de me rappeler cette lecture, ainsi de me donner les renseignements pour purger le PC.

Je te quitte, ou vous quitte ce soir. Je ferais tout cela demain....ras le bol...un PC sain que l'on retrouve verreux.

Ah les jeunes...Je ne connais pas votre âge, mais j'ai 57 ans et eu six garçons....ils m'en font toujours voir.....

Tant mieux...

Cordialement à vous.....bonne soirée...

Ð

[Sacros]

Bonjour à tous..

Suite à mon problème d'infection par un clef USB, j'ai du mal à démarrer mon PC, aussi en mode sans échec:+

Au démarrage, depuis ce matin, il me dit que mon clavier est nase ou mal branché. Je crois que ces infections se propagent sur les autres périphes......

Je ne sais que faire....sinon continuer.

Quand j'ai voulu enregistrer "Flash_Disinfector.exe de sUBs", cela m'a été refusé. Trois essais, trois alertes virales:"Contains detection pattern of application APPL//NirCmd.2

Impossible de l'enregistrer. Je ne peux même pas passer par une clef USB...elle serait /ou elle est infectée.

Que faire SVP....merci d'avance.

Ð

[Sacros]

Re,

Maintenant, le PC est bloqué, écran bleu avec une fenêtre remplie de douze langues à choisir (English, Dansk, Suomi, Français, etc.....Merci

Ð

[Zonk]

Re,

Maintenant, le PC est bloqué, écran bleu avec une fenêtre remplie de douze langues à choisir (English, Dansk, Suomi, Français, etc.....Merci

Ð

Assez sévère comme symptomes!!

...je n'ai pas vu ca souvent!