Demande d'aide sur un rapport Hijackthis [RESOLU]

[jl38]

impossible de mettre en route le scan online de kaspersky

est-ce que peux zapper ça et passer à l'étape suivante ??

 

A propos de OTMoveIt2 par OldTimer, c'est la même manip qu'hier ?

[Apollo]

Ici http://forum.zebulon.fr/index.php?s=&s...t&p=1262708

 

J'aurais bien une solution mais cela impliquerait que tu désinstalles ta suite ZA.

 

Installer la version d'évaluation dont tu vois le lien dans ma signature; laisser tous les réglages par défaut et faire une analyse complète après la mise à jour et reboot possible.

 

La solution Kaspersky peut être installée sur un système potentiellement infecté, c'est un avantage certain.

 

Si tu décides de passer par cette solution, fais les opérations de désinstall de ZA et d'install de Kasper avec le pc déconnecté physiquement du net.

 

Ne le rebrancher que pour les mises à jour puis analyse complète.

 

Fais déjà Ot MoveIt, pour voir s'il vire ce fichier.

[jl38]

Enfin quelques bonnes nouvelles !

j'ai donc zappé - par obligation - ta solution Kaspersky, et je suis passé directement à OTMoveIt2.

Reboot puis MBAM

 

0 infection !!!!!!!!!!!!!!

 

rapport

===========

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1014

Windows 5.1.2600 Service Pack 3

 

18:51:33 06/08/2008

mbam-log-8-6-2008 (18-51-33).txt

 

Type de recherche: Examen rapide

Eléments examinés: 39106

Temps écoulé: 12 minute(s), 30 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

==================

 

 

et dernier rapportHKT

========

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:55:58, on 06/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Logitech\MediaLife\MediaLifeService.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

C:\Program Files\MagicTune Premium\MagicTune.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\snmp.exe

D:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

D:\Program Files\Mozilla Firefox\firefox.exe

F:\Stock Logiciels\Sécurité Internet\HijackThis\Hijackthis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9CE2C2F6-4A26-4572-A5C9-70D4CCE897DB} - C:\WINDOWS\system32\byXPFULc.dll (file missing)

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MediaLifeService] "C:\Program Files\Logitech\MediaLife\MediaLifeService.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C:\Program Files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe

O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 6903 bytes

============

 

Qu'en penses-tu ????

 

est-il nécessaire d'aller plus loin, et d'appliquer tes dernières recommandations. Si nécessaire ça ne me pose aucun problème de désinstaller ZA pour aller plus loi

 

j'attends tes instructions, mais ça m'a l'air bien. je vais encore rebooter 1 ou 2 fois et repasser MBAM pour assurer !!

 

@+

[Apollo]

Je pense qu'on a fini par l'avoir et qu'on a gagné ensemble!

 

Je vais te faire fixer quelques lignes pour alléger un peu le pc au boot et je reviens.

 

Le "Bonjour", tu en as besoin? sinon désinstalle-le.

 

Pour le Kasper c'est toi qui décides, il te protègera pendant 30 jours et tu pourras t'en faire une idée; je suis à ta disposition si tu as des questions de configuration mais elle est très simple; juste quelques trucs pour ne pas avoir 36 alertes par jour avec les nombreuses attaques de réseau, sinon il crée les règles tout seul comme un grand quand il connait bien les applications.

 

Je re dans 5 minutes.

[Apollo]

Si tu as le Tea Timer de Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

Lance Hijackthis "do a system scan only" et coche les cases devant les lignes suivantes:

 

O2 - BHO: (no name) - {9CE2C2F6-4A26-4572-A5C9-70D4CCE897DB} - C:\WINDOWS\system32\byXPFULc.dll (file missing

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

 

Si tu désinstalles Bonjour, fixe cette ligne:

 

 

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

 

Ferme les applications dont le navigateur et clique sur Fix Checked.

 

Garde MBAM, tu as pu apprécier sa valeur!

 

Vire C:\_OtMoveIt

 

Je pense que VundoFix a été désinstallé avec ToolsCleaner 2, vérifie toujours, il ne doit pas rester sur le pc.

 

Je re car mon AV me demande de rebooter mon pici lol.

Modifié le 6 août 2008 par Apollo.01

[jl38]

ça fait assez longtemps que j'utilise Zone Alarm pro, couplé à antivir et autres outils. ça fonctionnait très bien. Depuis qqs semaines je suis passé à la suite ZA Internet Security. J'en ai profité pour virer tous les logiciels annexes et ZA tourne très bien. Je ne me suis pas trop cassé la tête pour la config, il gère tout seul les applications. Je voulais essayer Kaspersky IS car j'ai lu sur le net que c'était une suite très performante. Comme un crétin je l'ai téléchargé sur le net et tu connais la suite !!!!

 

A propos de "Bonjour", je ne sais même pas de quoi il s'agit !

 

En tous les cas, je ne saurai trop te remercier pour ton aide, ta patience, ta compétence et ta disponibilité. C'est vraiment très très sympa. Un très grand merci donc. J'espère que ces saletés sont définitivement supprimées, sinon je n'hésiterai pas à te recontacter !!

 

J'attends tes quelques lignes

 

@ +

[Apollo]

C'est fait , juste le post précedent et c'est tout.

 

Pour "bonjour" il se trouve sûrement sans ajout/suppr des programmes sinon:

 

Supprimer le dossier indiqué en gras:

 

C:\Program Files\Bonjour\mDNSResponder.exe

 

Je te conseille aussi de virer Incredimail très indiscret sur les habitudes des internautes et la sweetIM. également.

 

Voilà, j'espère que tout va bien et je reste à ta disposition en cas de souci.

 

@ bientôt

 

Si tu estimes que le problème est réglé, je te demanderais de bien vouloir éditer ton premier post en ajoutant au titre la mention: [RESOLU] Merci.