Trojan...

[Hajou]

Bonjour,

 

Je pense avoir un trojan sur mon ordinateur, étant donné que je perds de temps en temps le contrôle de mon ordi et que des pages web apparaissent de leur propre chef. Et il ne s'agit pas de pop-up puisque le petit malin qui m'aurait piraté s'amuse à faire bouger les fenêtres de ces pages web pour me narguer...

Voici un log de HijackThis, peut-être pourrez-vous y trouver la source du problème...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:48:54, on 31/12/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [TXP] c:\program files\topthemesxp\txp.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PKR Pal] "C:\Program Files\PKR\pkrpal.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [steam] D:\Program Files\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Bananasplit-XP.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E94061-173E-41E8-88B5-52AF895CE348}: NameServer = 212.217.1.17 212.217.0.3

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 4892 bytes

 

----------------------------

 

Merci en tout cas d'avoir lu ce message, en espérant que vous trouviez une solution...

[Zonk]

Salut

À ne pas faire tout de suite ,mais une fois que tu seras confirmé « sain »,

(si tu mets ton OS à jour dans cet état tu risques des emm*rdes )

Met ton OS à jour!!! Tu es terriblement en retard!!!!!

Tu as des traces de Norton (à nettoyer absolument..parfois l’outil ne reusssit pas de premier coup…..suite à son utilisation,tu refais un autre HJT et si des traces sopnt encore présente je te guiderai pour les supprimer efficacement)

 

http://service1.symantec.com/SUPPORT/INTER...be?OpenDocument

(ne soit pas surpris …a la fin de l’utilisation tu seras rediriger vers le site Symantec pour le téléchargement du celui-ci…alors on oublie ce téléchargement)

 

 

 

Antivir Classic (on va vérifier le paramètrage )

Tuto ....à toi de choisir mais assure toi de bien suivre les conseils .....surveille à bien activer la recherche de " rootkits" (cette fonction est souvent oublier par les gens).....cherche à activer le mode "Expert"

http://www.libellules.ch/tuto_antivir.php

http://tutopat.hostonet.org/viewtopic.php?t=2417

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection")

 

Antispyware???? En voici un très bon en temps réel en plus !! (je te conseille d’acheter la licence)..la version sera complète durant 30 jours…suite à ce 30 jours tu perdras la protection en temps réel ,mais le soft continuera normalement à permettre les mises à jour et à offrir les scans

AVG Antipsyware (choix de langues)

http://free.grisoft.com/doc/5390/us/frt/0?prd=asf

http://www.kachouri.com/tuto/imprimer161.html

 

On va supprimer les fichiers inutiles …..

Télécharge ATF Cleaner par Atribune....(petit programme sans danger qui ne s'installe pas.... il ne fait que s'exécuter

....parfois avec des ordis moins performants, le nettoyage est lourd....alors si tu veux alléger la tache, va y deux cases à la fois et fait "Empty selected"......

si tu veux sauver tes cookies,exclu les.....

Nettoyeur ATF

Installe-le sur le bureau.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

Cliquer sur le bouton Empty Selected

 

 

applique ceci...le pré-nettoyage:

http://forum.zebulon.fr/index.php?showtopic=83986

tu devras aller en mode sans échec (tu auras les infos dans le lien du pré-nettoyage).....parfois lent à démarrer/fermer...soit patient.....l'affichage sera altéré, ça reviendra suite à un redémarrage

Tandis que tu es en "sans échec" profite en pour passer tout tes antipestes en ce mode..on parle de supprimer Antivir suite à ce nettoyage. ..il est ton antivirus… tu oublies cette consigne..... souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tout tes rapports et ensuite l’Équipe Sécurité te guidera pour parfaire le travail….ou te confirmer que tout est sain

 

quand tout sera ok coté pestes:

http://secunia.com/software_inspector/

va a "Start now"....et coche la petite case à

 

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

(ca te dira si tu as des versions non-sécure coté version….j’en vois déjà…...avec ce petit test tu n'auras qu'a suivre les recommandations à la lettre pour corriger ,le cas échéant......facile )

Bye

Modifié le 31 décembre 2007 par Zonk