Analyse rapport HiJack

[antoineL]

Bonjour,

J'ai un problème depuis plus d'une semaine : lorsque je lance XP, après avoir ouvert ma session, l'ordinateur ne répond plus, comme s'il était super lent. Au début, j'ai pu faire un scan avec avast, sui n'a rien donné. Et maintenant, je ne peux plus rien faire, ne serait-ce ouvrir le menu démarrer après avoir ouvert la session.

Je suis donc passé par le mode sans échec pour effectuer une analyse HiJack que je vous transmets donc.

 

 

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:56:52, on 30/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [LOGGING_EPCP] "C:\Program Files\Parental Filter\LoggingEPCP.exe" start

O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\parental filter\hooklib.dll

O18 - Protocol: x-mem1n - {2AB77CF2-76FF-475C-9AB8-0332478CBDEB} - C:\Program Files\Parental Filter\wowctl.net.dll

O18 - Protocol: x-mem3n - {0F4413E7-5D3B-4B1A-8AA2-E2307F06B228} - C:\Program Files\Parental Filter\eztoolslib.net.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Parental Filter (ServiceEPCP) - Unknown owner - C:\Program Files\Parental Filter\ServiceEPCP.exe

 

--

End of file - 6049 bytes

 

 

 

 

 

 

 

Si quelqu'un pouvait m'aider en analysant ce rapport, ce serait très gentil de sa part.

Merci.

Antoine

[pear]

Bonjour,

 

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

Désactivez le tea timer de Spybot avant de lancer cet outil:

 

Télécharger SDFix (créé par AndyManchesta)

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

 

A propos d'Avast

Avast vs Antivir

 

vous pouvez utiliser cet outil de suppression d'Avast!

Supprimer Avast

Il est conseillé de redémarrer l'ordinateur une fois Avast! désinstallé.

 

Télécharger Antivir

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

 

Paramètres conseillés

Clic droit sur le parapluie->Configure

Cliquer Expert mode->Scan:

Cocher: All files

Additionnal Settings:tout cocher

Clic sur scan +

Action for concerning files:

Cocher

copie file to quarantine before action

Primary action...................: repair => au cas ou ce serait un fichier système corrompu

Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine

 

 

Désactivez votre antivirus actuel

 

Redémarrez en mode sans échec.

Lancez le scan

 

Postez le rapport

 

[pear]

Re bonjour,

 

Ne tenez pas compte de mon message précédent puisque , n'ayant pas accès à internet, vous ne pouvez télécharger.

 

 

 

Dans Hijackthis,cochez ces lignes puis clic sur Fix checked

 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

Désactivez le tea timer de Spybot.

 

Le problème est qu'il faut télécharger, or le mode sans échec ne le permet pas.

En avez vous le moyen par un autre pc ?

 

On va essayer de débloquer l'usage normal:

 

Démarrer->Exécuter

regsvr32 -u shmedia.dll

valider

Redémarrez

 

ensuite

 

Copier /coller dans le bloc notes.

Enregistrer sur le bureau sous explor.bat

Double clic sur le fichier .bat pour le lancer.

@echo off

regsvr32 /u shmedia.dll /s

regsvr32 /i browseui.dll /s

regsvr32 /i shell32.dll /s

 

Décrivez le comportement du pc aussi précisément que possible.

[antoineL]

Bonjour,

Excusez-moi de ma réponse très tardive, mais j'ai été énormément occupé.

J'ai pu trouver un pc ayant accès à internet, ainsi j'ai pu lancer SDFix, supprimer avast, et installer antivir. Malheureusement, pour antivir, j'arrive à effectuer tous les settings avant de lancer le scan, mais je n'arrive pas à simplement lancer le scan.

Etant donné que je travaille seulement sur le mode sans échec, car sinon le pc ne répond pas, les fenêtres des applications n'ont pas la place de s'afficher entièrement, elles s'affichent avec une taille trop importante.

Je vous envois néanmoins le rapport donné par SDFix après le redémarrage du pc

 

 

 

 

SDFix: Version 1.201

Run by Lortie on 03/07/2008 at 16:46

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\Documents and Settings\Lortie\real.txt - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-03 16:59:08

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

C:\Documents and Settings\Lortie\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : [email protected] 1087 bytes hidden from API

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 1

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Sat 29 Mar 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 16 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT1.tmp"

Fri 17 Aug 2007 38,912 A..H. --- "C:\Documents and Settings\Lortie\Mes documents\ANDRE\enfants\~WRL2307.tmp"

Sun 16 Sep 2007 21,504 A..H. --- "C:\Documents and Settings\Lortie\Mes documents\ANDRE\enfants\~WRL2635.tmp"

Mon 17 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\302e1056006644b6630bcb41e5969ade\download\BIT37.tmp"

Mon 17 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c8f95ed251aedea843abb9ea5b1a52d3\download\BIT30.tmp"

 

Finished!

 

 

 

 

 

Merci beaucoup de l'aide que vous m'apportez, et dites moi simplement où se trouve la fenêtre pour lancer le sc

[pear]

Bonjour,

 

Quand antivir est installé, vous avez sur la barre de tâches , à droite, un parapluie rouge.

Vous faites clic droit et cliquez sur Start Antivir.

Dans la fenêtre qui s'ouvre ,cliquez Start System Now, deuxième ligne ,en bleu

 

Après le scan, essayez de faire un démarrage normal.

 

Si cela ne marchait pas, faites une vérification du disque:

Poste de travail->Votre disque système->Propriétés->Outils ->Vérifier

 

En cas de nouvel échec, si c'est une tour, ouvrez la, vérifiez toutes les connexions(nappes, fils, cordons, barrettes....)

Modifié le 10 juillet 2008 par pear