Rapport HijackThis

Flowtik · le 29 février 2008

Bonjour,

Depuis une semaine mon ordinateur ralenti, de plus des fenêtres intempestives apparaissent sur mozilla.

Je poste ci-dessous le rapport HijackThis en espérant que vous pourrez me venir en aide.

D'avance un grand merci.

Flowtik

Voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:35:30, on 29/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\rmctrl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\PROMT98\INTEGRAL\pinmenu.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.088\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'Default user')

O4 - Startup: Intégrateur PROjectMT 98.lnk = C:\Program Files\PROMT98\INTEGRAL\PINSTART.EXE

O4 - Global Startup: Mises à jour planifiées de Quicken.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Personnaliser - C:\Program Files\PROMT98\promtie4\options.htm

O8 - Extra context menu item: Rechercher sur Internet - C:\Program Files\PROMT98\promtie4\search.htm

O8 - Extra context menu item: Traduire - C:\Program Files\PROMT98\promtie4\translat.htm

O8 - Extra context menu item: Traduire dans WebView - C:\Program Files\PROMT98\promtie4\webview.htm

O8 - Extra context menu item: Traduire la page - C:\Program Files\PROMT98\promtie4\page.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra 'Tools' menuitem: Personnalisez traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

--

End of file - 4591 bytes

josh_94 · le 29 février 2008

Salut.

Hijackthis est mal placé, il est actuellement dans un dossier temporaire.

Effectue d'abord cette procédure de prinettoyage stp, on utilisera Hijackthis plus tard.

1° Passe un coup de ccleaner Tutoriel Comment utiliser CCleaner

Merci à ruru pour le tuto.

2° Télécharge

Avg antispyware

Installe-le, met le à jour (rend toi ici si il y a un problème avec le serveur http://www.ewido.net/en/download/updates/

)et lance une analyse complète en mode sans échec (tapote la touche F8 dés l'affichage du BIOS, avant l'écran de chargement de windows).

Quand le scan sera fini, supprime tout les Tracking cookies et met le reste en quarantaine. Il faut pour cela modifier la colonne Action comme sur l'image ci dessous :

http://img374.imageshack.us/my.php?image=s...fectionsmz2.jpg

Poste le rapport qui sera généré ici s'il te plaît.

3° Fais un scan en ligne avec bit defender.

Utilise internet explorer et désactive ton antivirus le temps du scan.
Poste moi le rapport qui sera généré s'il te plaît.
Tutoriel ici : http://perso.orange.fr/rginformatique/sect...us/defender.htm ( Merci à Balltrap34 )

Note : en mode sans échec, tu n'as pas accès à internet, note la procédure au besoin

++

Flowtik · le 1 mars 2008

Bonsoir,

Merci pour votre aide, voici le rapport

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 23:01:51 01/03/2008

+ Résultat de l'analyse:

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP50\A0012825.exe -> Adware.Comet : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP101\A0035359.exe -> Backdoor.Agent.duj : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP50\A0012826.dll -> Not-A-Virus.Adware.Comet : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

Quand le scan sera fini, supprime tout les Tracking cookies et met le reste en quarantaine. Il faut pour cela modifier la colonne Action comme sur l'image ci dessous :

http://img374.imageshack.us/my.php?image=s...fectionsmz2.jpg

Poste le rapport qui sera généré ici s'il te plaît.

Encore un grand merci pour votre aide

Flowtik

josh_94 · le 1 mars 2008

Rebonjour.

Tu as du faire une erreur de manip : il manque le rapport Bit Defender.

++

Flowtik · le 2 mars 2008

Rebonjour.

Tu as du faire une erreur de manip : il manque le rapport Bit Defender.

++

VOICI LE RAPPORT BIT DEFENDER

Bonne réception

Flowtik

BitDefender Online Scanner

Rapport d'analyse généré à: Sun, Mar 02, 2008 - 01:05:09

Voie d'analyse: C:\;D:\;

Statistiques

Temps 00:23:30

Fichiers 35852

Directoires 4170

Secteurs de boot 2

Archives 661

Paquets programmes 3096

Résultats

Virus identifiés 2

Fichiers infectés 5

Fichiers suspects 0

Avertissements 0

Désinfectés 0

Fichiers effacés 5

Info sur les moteurs

Définition virus 984801

Version des moteurs AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins 16

Archive des plugins 41

Unpack des plugins 7

E-mail plugins 6

Système plugins 5

Paramètres d'analyse

Première action Désinfecté

Seconde Action Supprimé

Heuristique Oui

Acceptez les avertissements Oui

Extensions analysées exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails Oui

Analyse des Archives Oui

Analyser paquets programmes Oui

Analyse des fichiers Oui

Analyse de boot Oui

Fichier analysé Statut

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP72\A0017995.exe Détecté avec: Adware.MSNSkinner.A

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP72\A0017995.exe Supprimé

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0017998.dll Détecté avec: Adware.MSNSkinner.A

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0017998.dll Supprimé

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018000.dll Détecté avec: Adware.MSNSkinner.A

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018000.dll Supprimé

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018001.exe Détecté avec: Adware.MSNSkinner.A

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018001.exe Supprimé

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018002.exe=>(NSIS o)=>lzma_solid_nsis0005 Détecté avec: Adware.Navipromo.BZL

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018002.exe=>(NSIS o)=>lzma_solid_nsis0005 Supprimé

C:\System Volume Information\_restore{0327200D-62E0-4E8F-8771-C25644F170DA}\RP73\A0018002.exe=>(NSIS o) Echec de la mise à jour

josh_94 · le 2 mars 2008

Rebonjour soir matin.

Télecharge HJTInstaller sur ton bureau.
Double clique sur HJTInstall.exe :
La fenêtre d'installation, clique simplement sur Install :
Ensuite, rend toi à cet emplacement :
C:\Programm Files\Trend Micro\Hijackthis
Et renomme Hijackthis en Hjt.
Lance Hjt
Clique sur Do a system scan and save a logfile
Un document texte (le rapport) va maintenant s'ouvir
Poste l'integralité du raport sur le forum.

++

Modifié le 2 mars 2008 par josh_94

Flowtik · le 2 mars 2008

josh_94 · le 2 mars 2008

Rebonjour.

Est-ce que tu peux recommencer mais en faisant attention à poster un log en entier, j'entends par la en un seul morceau, ce serait sympa et me faciliterait la lecture.

++

Flowtik · le 2 mars 2008

Rebonjour.

Est-ce que tu peux recommencer mais en faisant attention à poster un log en entier, j'entends par la en un seul morceau, ce serait sympa et me faciliterait la lecture.

++

Rebonjour,

Re rapport en espérant que c'est mieux.

Bonne réception

Flowtik

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:28:31, on 02/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\rmctrl.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_Oe.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\PROMT98\INTEGRAL\pinmenu.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\Hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [VadeRetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"

O4 - HKLM\..\Run: [VadeRetro Outlook Express & Windows Mail] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_Oe.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [qklnde] c:\windows\system32\qklnde.exe qklnde

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background