Mon rapport Hijackthis après attaques virales, plantages

[Flavien_]

Bonjour, j'ai subi les attaquesde plusieurs virus que j'ai eu un certain mal à éradiquer et je voulais savoir s'il restait des trucs louches dans ce rapport. Merci pour le coup de main:

 

Logfile of HijackThis v1.99.1

Scan saved at 15:30:08, on 21/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

C:\Program Files\Fichiers communs\New Boundary\PrismXL\PRISMXL.SYS

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\NetLimiter 2 Pro\NLClient.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gateway.com/g/startpage.html?Ch...DTP&M=E4074

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\windows\system32\BAE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: *.line6.net

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1164139453937

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurate...countHelper.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/...tiveXPlugin.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Fichiers communs\New Boundary\PrismXL\PRISMXL.SYS

Modifié le 22 février 2008 par Flavien_

[Flavien_]

Je précise que j'ai bien procédé au pré-nettoyage conseillé sur le site avec antivir, préalablement doublé de scans adware, bit defender (en ligne) et Avast. L'antivirus en ligne de bit defender a détecté divers virus : Win32.worm.Potos.A ; Trojan.Dropper.Delf.HS ; Trojan.Agent.VB.AOH ; Trojan.Bifrose.ADT.Dam ; Win32.Worm.P2P.Puce.F ; Generic.Istbar.C3985415 ; Trojan.Generic.79520 et Adware.Casino.V (moins méchant).

 

Les fichiers infectés ont tous été supprimés, bien avant la procédure Antivir / Hijack.

Cependant mon ordinateur continue de planter, redémarrer de manière intempestive ou bien d'afficher des messages d'erreur au démarrage.

 

Voila pour les précisions.

[Flavien_]

Les différents scans ne détectent plus rien, mais mon ordinateur ne cesse de planter, je ne sais plus trop quoi faire. quelqu'un peut m'aider.. ?

[Flavien_]

Bon je continue à me répondre à moi même.

La situation a nettement empirée, j'espère ne pas avoir franchi le point de non retour, j'explique:

 

Hier j'ai installé AVG au profit d'avast pour tenter encore un scan différent, et pendant la nuit, celui-ci m'a détecté le trojan horse proxy.WBN dans le fichier c:/programfiles/Alice/ReinitFW.exe

 

Au matin, AVG avait placé ce fichier dans son virus vault. Tout content, j'ai redémarré mon pc, car j'étais en mode sans échec, afin de voir la démarche à suivre, et ô surpise, le pc ne parvient plus à démarrer: que soit en mode normal ou sans échec, un message m'informe après le logo winXP que le fichier Isass.exe est défectueux car MPR.dll est introuvable.

 

J'ai bien essayé de relancer le pc en restaurant la dernière bonne config connue, mais rien n'y fait, impossible à démarrer.

 

Je suis vraiment paumé et j'ai peur de devoir tout formater.

 

Help, I need somebody, Help, now just anybody, Help, you know I need someone.... Help! (ceci n'est pas une agression mais un morceau des beatles qui me trotte dans la tête au vu des nouvelles données)

[midnighter]

Ouah ca à l'air assez grave.

 

je crois bien que tu vas en etre réduit à réinstaller windows ou au moins à le réparer.une fois que tu auras reussi a revenir sur le bureau et qu'il fonctionnera au moins au minimum, je t'indiquerai quoi faire pour essayer de tout virer. sinon si tu as un Disque du externe, mets y des que tu peux toutes le données sensibles que tu veux sauvegarder.

[Flavien_]

Ouah ca à l'air assez grave.

 

je crois bien que tu vas en etre réduit à réinstaller windows ou au moins à le réparer.une fois que tu auras reussi a revenir sur le bureau et qu'il fonctionnera au moins au minimum, je t'indiquerai quoi faire pour essayer de tout virer. sinon si tu as un Disque du externe, mets y des que tu peux toutes le données sensibles que tu veux sauvegarder.

[Flavien_]

Salut, merci pour ta réponse dont je n'ai pas été averti par mail d'où mon retard. Je vais donc t'expliquer où j'en susi en essayant de résumer car ça fait 2 fois que le pc plante pendant que je t'écris, je craque...

 

Donc j'ai effectivement formaté pour avoir de nouveau accès à windows: une première fois en sauvegardant les données, puis le problème persistant, encore 2 fois mais cette fosi de manière définitive. Le problème c'est que le pc a même osé planté pendant la finalisation du formatage, ce qui a compliqué les choses. Bref, niveau windows et drivers je suis à peu près à jour. Mais le problème persiste toujours, même après le formatage.

 

Antivir a une fois détecté le fichier sp2.cab de la partition de restauration comme douteux/infecté, mais le pc s'est éteitn avant que j'agisse. Depuis, il ne détecte plus rien. Ad-aware se bloque, je n'arrive pas à faire de scan. Et le pc plante toujours, la plupart du temps lors de l'ouverture, l'installation ou la suppression d'une application. De plus, le processus d'Internet Explorer se ferme lui aussi de manière intempestive.

 

Pour avoir le coeur net sur les plantages, j'ai désactivé le redémarrage automatique en cas d'erreur système, afin de voir les messages d'erreur relatifs. Le problème c'est que ce n'est jamais le même: MEMORY MANAGEMENT / BAD POOL HEADER / PAGE_FAULT_IN_NONPAGED_AREA / PFN_LIST_CORRUPT

 

Je n'arrive vraiment pas à cerner le problème. J'ai posté un message sur le forum hardware pour voir si d'après eux le problème pouvait venir de ma RAM, mais bon, les messages ne sont jamais les mêmes, le pc bloque de manière suspicieuse lorsque j'utilise des antivirus, les applications sont instables... et je ne vois pas pourquoi ma RAM poserait problème du jour au lendemain (j'ai changé mes barettes mais il y a 2 mois).

 

Toutefois si tu veux jeter un coup d'oeil, le post est là http://forum.zebulon.fr/index.php?showtopic=139805

 

Je te promets, je n'en peux plus là... Si tu as des idées sur la marche à suivre, je t'écoute plus qu'attentivement. (et te remercie)

 

Ouah ca à l'air assez grave.

 

je crois bien que tu vas en etre réduit à réinstaller windows ou au moins à le réparer.une fois que tu auras reussi a revenir sur le bureau et qu'il fonctionnera au moins au minimum, je t'indiquerai quoi faire pour essayer de tout virer. sinon si tu as un Disque du externe, mets y des que tu peux toutes le données sensibles que tu veux sauvegarder.

Modifié le 23 février 2008 par Flavien_

[Flavien_]

J'ai testé le pc en remettant deux anciennes barettes de RAM de 512Mb, et là il ne semble pas y avoir de problème. J'ai effectué divers memtests sous diverses combinaisons de RAM pour isoler le problème et vais ouvrir un nouveau post approprié.