Help pliz log hijack.this

RaK · le 21 décembre 2007

Bonjour ou bonsoir a tous,

Ma machine est a nouveau au bord du crash, je met ce message a l'avance, avant de commencer la procédure de nettoyage d un pc infecté, pour être sûr de pouvoir poster...car après, ce ne sera peut-être plus possible...genre ! Je ne sais même pas si je vais pouvoir passer en mode sans échec tellement le systeme semble instable...

Bref, ce qui se passe aussi, c'est que je ne peux plus mettre antivir a jour, mon firewall de chez Sunbelt viens de me lacher en même temps, je suis complêtement à découvert ...et comme cela fait relativement longtemps que je n'avais plus allumé cette machine, plus rien n'est a jour, depuis 6/7 mois ! ( A moins qu'elle aurais été utilisée en mon absence, mais je pense pas ) LA TOTALE !

Et a l'instant pour courroner le tout, je ne pouvais plus relancer la machine en mode normal, mais en reprenant la dernière bonne configuration...et depuis, toute la machine rame comme tout les diables, il me faut au moins deux trois secondes d'affichage pour chaque page de ce forum ( j espere que le post s'affichera d'ailleurs), toutes les fenêtre windows rament d'ailleurs.

Alors que ma config ( win XP Pro, Version 2002, Service Pack 2, AMD Athlon XP 1800+, 1.56 GHz, 768 Mo de RAM, carte graphique GForce 4) permetait de bien meuilleur performance.

Je sais qu il me faut rapidement un bonne antivirus, un firewall, la seule chose a jour sur cette machine c'est spybot search and destroy qui m 'a trouver un Mediaplex dernièrement...

Désoler pour ce post confus et brouillon...je sais pas du tout par ou commencer, c'est pour cette raison que je m'en remet à vous, une fois de plus...

Merci d'avance

Modifié le 21 décembre 2007 par RaK

Zonk · le 21 décembre 2007

Allô

Pour ce qui est de ton antivirus,ca ne donne rien à présent de le changer...Antivir est de taille....

un rapport serait le bienvenue:

http://telechargement.zebulon.fr/hijackthis.html

@+

RaK · le 21 décembre 2007

Merci pour ta reponse rapide ZonK, par contre chez moi, faut pas etre presser, 1/2 minute a une minute pour afficher chaque page du forum.

De plus, j'ai réaliser que j'ai fais l'énorme bétise de lancer un scan Search and destroy, et de surfer en même temps, ce qui ralentissais tous évidemment. Je coupé le scan, et depuis, tous lag comme si le processus du scan etais toujours en cours et de plus , le bouton mise en veille de windows est devenu obsolète, plus moyen... décidément, j'en rate pas une...

J'ai pu quand même mettre a jour et configurer antivir ( il m a trouver 2,3 virus pdt le scan, je te le met ce rapport ?) et finir la procédure de pre nettoyage, voici le rapport HiJack This:

Logfile of HijackThis v1.99.1

Scan saved at 18:59:47, on 21/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 87.89.35.212 L2authd.lineage2.com

O1 - Hosts: 87.89.35.212 L2testauthd.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1100559997493

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FF2B423-15A4-4158-8B9A-F515DF7956BA}: NameServer = 85.255.116.18,85.255.112.185

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8857ED4-49A9-4D36-8364-5BA7120D5581}: NameServer = 85.255.116.18,85.255.112.185

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - Unknown owner - C:\Program Files\ewido anti-malware\ewidoctrl.exe (file missing)

O23 - Service: ewido security suite guard - Unknown owner - C:\Program Files\ewido anti-malware\ewidoguard.exe (file missing)

Modifié le 21 décembre 2007 par RaK

RaK · le 21 décembre 2007

CasaleMedia, ZloB.DNSChanger et tjs MediaPlex, S&D continue de trouver de sympas ptis trucs comme ca....et je lag toujours. Je formate ?

Lien Rag · le 21 décembre 2007

Bonsoir

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FF2B423-15A4-4158-8B9A-F515DF7956BA}: NameServer = 85.255.116.18,85.255.112.185

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8857ED4-49A9-4D36-8364-5BA7120D5581}: NameServer = 85.255.116.18,85.255.112.185

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

RaK · le 22 décembre 2007

Merci beaucoup et à force de suivre les bons conseils içi, la machine va deja mieux...

Je viens de lancer les telechargements de fixwareout, mais antivir detecte tout de suite et sonne pendant l'instal, et l'icone de téléchargement est une croix rouge, c'est très bizard, du coup j'ai pas insisté et je voulais avoir ton avis la dessus avant que je continue quoi que ce soit...

Zonk · le 22 décembre 2007

Merci beaucoup et à force de suivre les bons conseils içi, la machine va deja mieux...
Je viens de lancer les telechargements de fixwareout, mais antivir detecte tout de suite et sonne pendant l'instal, et l'icone de téléchargement est une croix rouge, c'est très bizard, du coup j'ai pas insisté et je voulais avoir ton avis la dessus avant que je continue quoi que ce soit...

Tu as juste à désactiver Antivir le temps de la procédure.......je suis assuré que Lien Rag ne t'a pas refiler un téléchargement nocif.....Antivir est un peu parano...mais je préfère ça à un trop grand laxisme

Lien Rag · le 22 décembre 2007

@ Zonk

@Rak : desactive antivir le temps du travail de desinfection comme conseillé par Zonk

RaK · le 22 décembre 2007

Je ne doutais pas du tout d un membre de l'équipe junior sécu de zebulon et suis désoler si je l'ai laisser paraître, j voulais juste être sur de pas faire de nouvelles bétises

En plus j'avais déjà utilsé ce soft

Voici déjà le rappport FixWareout:

Username "RaK" - 22/12/2007 1:01:21 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion "fgpsc" Value deleted

HKCR\CLSID\{D0212ABC-0C9F-4088-A8EC-BD924153F6E4}\_h\4 Deleted.

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe\""

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="\"C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8"

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

Modifié le 22 décembre 2007 par RaK

RaK · le 22 décembre 2007

La mise en veille windows est tjs obsolète, les fenêtres de firefox défilent tjs avec lags et ma carte graphique continue a sortir du 2 frame/heure mais le forum de zebulon s'affiche normalement Rha ! Que deviendrais-je sans votre précieuse aide, mh ?!

Et voici le nouveau log Hijack.This apres le check fixed sur les lignes 17 :

Logfile of HijackThis v1.99.1

Scan saved at 1:10:25, on 22/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\devldr32.exe