résultat d'analyse HijackThis

yohan2a · le 8 mai 2008

Bonjour,

je viens d"installer HijackThis et de faire une premiere analyse. J'ai deja eu pas mal de virus sur mon ordi, je prefere donc faire une analyse pour savoir ce que vous en pensez...

merci d'avance

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:40:05, on 08/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\system32\rundll32.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\lvcomsx.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\DOCUME~1\acer\LOCALS~1\Temp\RtkBtMnt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/i_kat_207.php?lang=eng

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: EnigmaBHO Class - {5CFEE306-E014-48A4-876D-06FF09EBB0F3} - C:\Program Files\ADS Plugins\Enigma.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

jacmanou · le 8 mai 2008

Hello,

Effectivement une infection est encore présente.

Télécharger Malwarebytes' Anti-Malware (MBAM)

L'enregistrer sur le bureau.

Fermer toutes les fenêtres et programmes.

Double-cliquer sur l'icône Download_mbam-setup.exe sur le bureau pour démarrer l'installation.

Suivre les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet).

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

vérifier que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" sont cochées.

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

Comme il se met automatiquement à jour en fin d'installation, cliquer sur OK pour fermer la boîte de dialogue.

Redémarrer l'ordinateur en mode sans échec (F8 au début du démarrage de l'ordinateur), puis lancer MBAM.

[sous Vista, fermer le programme, et le relancer en faisant clic droit -> Exécuter en tant qu'administrateur]

La fenêtre principale de MBAM s'affiche :

Dans l'onglet analyse, vérifier que "Exécuter une analyse approfondie" est coché et cliquer sur le bouton Rechercher pour démarrer l'analyse.

L'analyse prendra un certain temps, être patient !

Un message s'affichera, en indiquant la fin .

Cliquer sur OK pour continuer.

Si des malwares ont été détectés, leur liste s'affiche.

En cliquant sur Suppression, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Fermer le bloc-note.

Fermer MBAM en cliquant sur Quitter.

Redémarrer l'ordinateur en mode normal et poster le rapport sur le forum.

yohan2a · le 12 mai 2008

Merci de m'avoir tout detaillé ce que je devais faire.

Voici le rapport :

Malwarebytes' Anti-Malware 1.12

Version de la base de données: 742

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 131544

Temps écoulé: 2 hour(s), 49 minute(s), 37 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 5

Fichier(s) infecté(s): 9

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\AVG Anti-Spyware 7.5 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\Spybot - Search & Destroy (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\avast! Antivirus (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\acer\Menu Démarrer\Antivirus (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\AVG Anti-Spyware 7.5\AVG Anti-Spyware.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\AVG Anti-Spyware 7.5\Service & Support.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\Spybot - Search & Destroy\Spybot - Search & Destroy.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\Spybot - Search & Destroy\Uninstall Spybot - Search & Destroy.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\avast! Antivirus\avast! Antivirus.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\avast! Antivirus\Aide.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus\avast! Antivirus\Site Web avast!.url (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.url (Rogue.Link) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url (Rogue.Link) -> Quarantined and deleted successfully.

Donc j'ai ensuite cliqué sur "suprimmer"

ça me semble bizarre d'avoir des fichiers avast et spybot comme etant infectés ! comment ça se fait ???

sinon quand j'ai redémarré l'ordinateur, spybot m"a signalé deux changements dans le registre :

SCR Extension handler

Valeur modifiée

ancienne valeur : "%1" /S

nouvelle valeur : "%1" %*

et

REG Extension handler

Valeur modifiée

ancienne valeur : regedit.exe "%1"

nouvelle valeur : regedit.exe "%1" %*

j'ai autorisé les deux modifications...

jacmanou · le 12 mai 2008

Hello,

As tu installé un programme Antivirus 2008 ou Plugin ADS ? Ca te dit qqch ou pas ?

Télécharger SmitfraudFix

(Prendre soin de désactiver l'antivirus provisoirement, il pourrait réagir à l'utilisation de l'outil).

Dézipper la totalité de l'archive smitfraudfix.zip

1) Utilisation ----- option 1 - Recherche :

Double-cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

yohan2a · le 12 mai 2008

voici le rapport aprés avoir utilisé smitfraudfix.cmd :

SmitFraudFix v2.320

Rapport fait à 19:02:54,85, 12/05/2008

Executé à partir de C:\Documents and Settings\acer\Mes documents\analyse de fichier\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\system32\rundll32.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\lvcomsx.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOCUME~1\acer\LOCALS~1\Temp\RtkBtMnt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Orange HSS\Launcher\Launcher.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\Orange HSS\connectivity\connectivitymanager.exe

C:\Program Files\Orange HSS\systray\systrayapp.exe

C:\Program Files\Orange HSS\Deskboard\deskboard.exe

C:\Program Files\Orange HSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\Orange HSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info

127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\acer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\acer\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\acer\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets

DNS Server Search Order: 80.10.246.130

DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BAFB0844-BC86-4354-97B2-2EDF187ED450}: NameServer=80.10.246.130,80.10.246.3

HKLM\SYSTEM\CS1\Services\Tcpip\..\{BAFB0844-BC86-4354-97B2-2EDF187ED450}: NameServer=80.10.246.130,80.10.246.3

HKLM\SYSTEM\CS3\Services\Tcpip\..\{7EBA6F81-200E-4E43-A790-B0B93CD31CC8}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{BAFB0844-BC86-4354-97B2-2EDF187ED450}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

jacmanou · le 12 mai 2008

Ce cas me semble assez complexe. Je préfère faire appel à un expert de la désinfection. Je ne t'abandonne pas, je demande à un "collègue" de prendre la suite

Bonne continuation.

pear · le 13 mai 2008

Bonjour,

Désactivez les protections.

Télécharger DiagHelp.zip de Malekal_morte sur le bureau

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ouvrez le et double-cliquez sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes,

appuyez sur une touche quand on le demande

* Copier/coller le contenu entier du bloc-note qui s'ouvre et le joindre à la prochaine réponse.

Sinon, il est là:C:\resultats.tx

[La détection par Antivir de "TR/inject.MF"

est en fait catchme ,un composant de diaghelp :c'est donc un faux positif./color]

Désactivez les protections.

Option 2 Connexions établies+dll utilisées

Télécharge DiagHelp.zip de Malekal_morte sur le bureau

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ne pas double-cliquer dessus !! Faire un clic droit sur le fichier et extraire tout

* Un nouveau dossier chercher va être créer DiagHelp

* Ouvrez le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 2

* L'analyse va commencer, ceci peut durer quelques minutes, laisser faire et appuyer sur une touche quand on le demande

* Copier/coller le contenu du bloc-note qui s'ouvre, pour cela :

* Dans le bloc-note, cliquer sur le menu Edition / Sélectionner tout

* A nouveau menu Edition / copier

* Dans un nouveau message ici, faire un clic droit / coller

yohan2a · le 16 mai 2008

Voici le resultat de l'analyse avec le logiciel diag help :

DiagHelp version v1.4 - http://www.malekal.com

excute le 16/05/2008 à 22:08:00,73

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->16/05/2008 22:07:42

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->16/05/2008 22:07:40

C:\WINDOWS\prefetch\WSCNTFY.EXE-0B14C27D.pf -->16/05/2008 22:07:10

C:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->16/05/2008 22:06:22

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->16/05/2008 22:06:16

C:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->16/05/2008 22:05:58

C:\WINDOWS\prefetch\NMINDEXSTORESVR.EXE-13F11D87.pf -->16/05/2008 22:03:08

C:\WINDOWS\prefetch\REALPLAY.EXE-05411014.pf -->16/05/2008 21:55:58

C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->16/05/2008 21:30:18

C:\WINDOWS\prefetch\CIDAEMON.EXE-01BEEBF3.pf -->16/05/2008 20:55:56

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->05/05/2008 20:46:36

C:\WINDOWS\System32\drivers\mbam.sys -->05/05/2008 20:46:32

C:\WINDOWS\System32\drivers\aswFsBlk.sys -->29/03/2008 19:35:50

C:\WINDOWS\System32\drivers\aswmon2.sys -->29/03/2008 19:35:22

C:\WINDOWS\System32\drivers\aswSP.sys -->29/03/2008 19:31:34

C:\WINDOWS\System32\drivers\aswRdr.sys -->29/03/2008 19:29:08

C:\WINDOWS\System32\drivers\aswTdi.sys -->29/03/2008 19:27:34

C:\WINDOWS\System32\eRLog.ini -->16/05/2008 20:49:44

C:\WINDOWS\System32\nvapps.xml -->16/05/2008 20:49:28

C:\WINDOWS\System32\wpa.dbl -->14/05/2008 00:13:40

C:\WINDOWS\System32\FNTCACHE.DAT -->14/05/2008 00:13:34

C:\WINDOWS\System32\tmp.txt -->12/05/2008 19:03:08

C:\WINDOWS\System32\tmp.reg -->12/05/2008 19:03:08

C:\WINDOWS\System32\MRT.exe -->09/05/2008 23:35:04

C:\WINDOWS\System32\PerfStringBackup.INI -->08/05/2008 13:55:32

C:\WINDOWS\System32\perfh00C.dat -->08/05/2008 13:55:32

C:\WINDOWS\System32\perfc00C.dat -->08/05/2008 13:55:32

C:\WINDOWS\System32\perfh009.dat -->08/05/2008 13:55:32

C:\WINDOWS\System32\perfc009.dat -->08/05/2008 13:55:32

C:\WINDOWS\System32\404Fix.exe -->28/04/2008 08:03:06

C:\WINDOWS\System32\IEDFix.exe -->28/04/2008 08:03:06

C:\WINDOWS\System32\VACFix.exe -->24/04/2008 08:10:34

C:\WINDOWS\System32\CONFIG.NT -->05/04/2008 19:05:32

C:\WINDOWS\System32\CompiledAdapter -->01/04/2008 13:08:46

C:\WINDOWS\System32\aswBoot.exe -->29/03/2008 19:45:50

C:\WINDOWS\System32\AvastSS.scr -->29/03/2008 19:23:22

C:\WINDOWS\System32\mswstr10.dll -->25/03/2008 06:51:10

C:\WINDOWS\System32\msjint40.dll -->25/03/2008 06:51:08

C:\WINDOWS\System32\mswdat10.dll -->25/03/2008 06:50:58

C:\WINDOWS\System32\msxbde40.dll -->25/03/2008 06:50:58

C:\WINDOWS\System32\mstext40.dll -->25/03/2008 06:50:56

C:\WINDOWS\System32\msrepl40.dll -->25/03/2008 06:50:52

C:\WINDOWS\win.ini -->16/05/2008 20:54:22

C:\WINDOWS\WindowsUpdate.log -->16/05/2008 20:52:56

C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt -->16/05/2008 20:49:30

C:\WINDOWS\wiadebug.log -->16/05/2008 20:48:26

C:\WINDOWS\0.log -->16/05/2008 20:48:14

C:\WINDOWS\bootstat.dat -->16/05/2008 20:48:12

C:\WINDOWS\SchedLgU.Txt -->16/05/2008 12:17:22

C:\WINDOWS\wiaservc.log -->16/05/2008 12:17:16

C:\WINDOWS\bthservsdp.dat -->16/05/2008 12:17:14

C:\WINDOWS\wmsetup.log -->16/05/2008 09:53:04

C:\WINDOWS\ModemLog_Sony Ericsson Device 616 USB WMC Modem.txt -->15/05/2008 00:27:40

C:\WINDOWS\ModemLog_Sony Ericsson Device 616 USB WMC Data Modem.txt -->15/05/2008 00:27:38

C:\WINDOWS\ehOCGen.log -->14/05/2008 21:30:40

C:\WINDOWS\MedCtrOC.log -->14/05/2008 21:30:40

C:\WINDOWS\ocmsn.log -->14/05/2008 21:30:40

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT

Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------

EXPLORER.EXE pid: 1656

Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path

0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x10000000 0x16000 9.04.0004.1082 C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x55df0000 0xd000 17.01.0051.0000 C:\WINDOWS\system32\AcSignIcon.dll

0x782e0000 0x10c000 8.00.50727.0042 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_dec6ddd2\MFC80U.DLL

0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll

0x5d360000 0xf000 8.00.50727.0042 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_3415f6d0\MFC80FRA.DLL

0x55fe0000 0x52000 17.01.0051.0000 C:\Program Files\Fichiers communs\Autodesk Shared\AcSignCore16.dll

0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll

0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll

0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x02490000 0x7000 1.00.0000.0001 C:\WINDOWS\system32\MSNChatHook.dll

0x024a0000 0xe000 1.20.0000.0001 C:\WINDOWS\system32\sysenv.dll

0x7c250000 0x102000 7.10.3077.0000 C:\WINDOWS\system32\MFC71U.DLL

0x024d0000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll

0x02550000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x00db0000 0x8000 0.09.0007.0003 C:\Acer\Empowering Technology\ePower\SysHook.dll

0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL

0x03180000 0x3b000 2.06.5000.5378 C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll

------------------------------------------------------------------------------

EXPLORER.EXE pid: 5628

Command line: "C:\WINDOWS\Explorer.EXE" /IDLIST,:1908:1656,/S

Base Size Version Path

0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x10000000 0x16000 9.04.0004.1082 C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

0x00320000 0x7000 1.00.0000.0001 C:\WINDOWS\system32\MSNChatHook.dll

0x00330000 0xe000 1.20.0000.0001 C:\WINDOWS\system32\sysenv.dll

0x7c250000 0x102000 7.10.3077.0000 C:\WINDOWS\system32\MFC71U.DLL

0x00db0000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll

0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL