Ce pc est-il infecte?

[PeterP]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 4:43:01 PM, on 8/5/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\1XConfig.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

c:\mysql\bin\mysqld-nt.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\Program Files\SONY\Sony RealShot Manager\ArchivingORB\ArchivingORBService.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\Program Files\MTC\Motoctrl\motoctrl.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Motorola\MotoMesh\MeshTray\MeshTray.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jucheck.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\PenMount\DMC9000\PMonitor.exe

C:\Program Files\vguy\VirtuaGuy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Motorola\meshapi.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {D46BEAA4-A304-40B3-A9DA-EC7F7F501F25} - C:\Program Files\Applications\iebt.dll

O2 - BHO: SpyWarningBHO Class - {F58FF278-2198-403b-9170-C95022A194C6} - C:\Program Files\ASpyC\SpyWarning.dll (file missing)

O3 - Toolbar: Internet Service - {38BF827A-D7C5-46E1-A9A2-47B1B5BB5438} - C:\Program Files\Applications\iebr.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [MotoCtrl] \Program Files\MTC\Motoctrl\motoctrl.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MeshTray_mea] C:\Program Files\Motorola\MotoMesh\MeshTray\MeshTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: VirtuaGuy.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PM DMC9000 Monitor.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1212431883562

O16 - DPF: {6E49B4EF-9FE5-44DF-8D04-445AA94F83DB} (Sony Network Camera Viewer Control) - http://172.31.0.100/program/SonyNetworkCameraViewer.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://172.31.1.10/activex/AMC.cab

O22 - SharedTaskScheduler: ceroxylon - {c96395b8-ab09-46a4-b539-7ddf6e061808} - C:\WINDOWS\system32\jkqvjzl.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Event Processor (ep) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: Hardware Authentication Server (has) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: IP Resolution Server (iprs) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: MySQL - Unknown owner - c:\mysql\bin\mysqld-nt.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Network Management Information Server (nmi) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Sony RealShot Manager Archiving Service (RSM Archiving) - Unknown owner - C:\Program Files\SONY\Sony RealShot Manager\ArchivingORB\ArchivingORBService.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

 

--

End of file - 7390 bytes

[Apollo]

Bonsoir,

 

Bien sûr qu'il est infecté et bien.

Normal! Aucune protection antivirus/firewall -> on voit ça après, d'abord désinfecter.

 

Télécharge SmitfraudFix sur ton bureau.

• 
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Note : votre antivirus peut détecter le virus TR/Hardoff.A dans l'archive, il s'agit là d'un faux-positif.
  

 

Je te donne la suite dès que j'ai ce rapport; je te cherche un antivirus et un firewall en attendant.

 

Veux-tu une version d'essai de protection complète d'un mois ou tout de suite une version gratuite?

@tt

[PeterP]

Bonjour Apollo!

 

Quelques minutes apres l affichage de mon message. J ai trouve le desinfectant pour dryhomepage, qui se trouve etre ton logiciel propose. Je l ai execute avec succes.

 

voici le nouveau log

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:08:07, on 8/5/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZCfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\1XConfig.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\Program Files\MTC\Motoctrl\motoctrl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Motorola\MotoMesh\MeshTray\MeshTray.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Motorola\meshapi.exe

C:\Program Files\PenMount\DMC9000\PMonitor.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

c:\mysql\bin\mysqld-nt.exe

C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\WINDOWS\system32\java.exe

C:\Program Files\SONY\Sony RealShot Manager\ArchivingORB\ArchivingORBService.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {D46BEAA4-A304-40B3-A9DA-EC7F7F501F25} - (no file)

O2 - BHO: (no name) - {F58FF278-2198-403b-9170-C95022A194C6} - (no file)

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [MotoCtrl] \Program Files\MTC\Motoctrl\motoctrl.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MeshTray_mea] C:\Program Files\Motorola\MotoMesh\MeshTray\MeshTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sNM] C:\Program Files\SpyNoMore\SNM.exe /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PM DMC9000 Monitor.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1212431883562

O16 - DPF: {6E49B4EF-9FE5-44DF-8D04-445AA94F83DB} (Sony Network Camera Viewer Control) - http://172.31.0.100/program/SonyNetworkCameraViewer.cab

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://172.31.1.10/activex/AMC.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Event Processor (ep) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: Hardware Authentication Server (has) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: IP Resolution Server (iprs) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: MySQL - Unknown owner - c:\mysql\bin\mysqld-nt.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Network Management Information Server (nmi) - Unknown owner - C:\Program Files\MeshManager\WinWrapper\bin\Wrapper.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Sony RealShot Manager Archiving Service (RSM Archiving) - Unknown owner - C:\Program Files\SONY\Sony RealShot Manager\ArchivingORB\ArchivingORBService.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

 

--

End of file - 6021 bytes

[Apollo]

Attention! Ne jamais garder des outils comme SmitfraudFix et d'autres car ceux-ci ne cessent d'évoluer! Ils se retrouvent donc très vite obsolètes.

 

D'ailleurs j'ai besoin du rapport après son passage.

 

Il vaut mieux télécharger ceux qu'on te propose ici car ce sont toujours les plus "frais"; d'ailleurs on a l'habitude de les faire désinstaller en fin de procédure.

 

J'examine ton log et je reviens.

 

@+

[Apollo]

Le pc a toujours la même infection; débarrasse-toi du SmitfraudFix que tu avais ainsi que d'autres que tu aurais gardé aussi.

 

Refais l'analyse en option 1 avec celui que je t'ai proposé en téléchargement et poste le rapport stp.

 

@+

[Apollo]

Ok on va faire autrement:

 

Si tu as le Tea Timer de Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

Lance Hijackthis "do a system scan only" et coche les cases devant les lignes suivantes:

 

O4 - HKLM\..\Run: [sNM] C:\Program Files\SpyNoMore\SNM.exe /startup

 

Ferme tes applications ouvertes sauf HJT et clique sur Fix Checked.

 

Cherche et élimine le dossier indiqué en gras:

 

c:\program files\spynomore\snm.exe

 

Vide la corbeille.

 

Il est possible qu'il se cache; dans ce cas faire ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Pour les recacher, suis le même chemin et sous l'onglet Affichage, fais exactement l'inverse avec les cases ou clique sur "Paramètres par défaut".

 

Poste un nouveau log Hijackthis après ça.

 

@ demain.

[PeterP]

Rebonjour Apollo!

 

Désolé du délai de réponse. J'étais chez un ami novice en informatique pour désinfecter son pc. Je garde précieusement tes infos que j'exécuterai à ma prochaine visite chez lui.

 

J'ai fait la mise à jour de son windows Xp Pro avec IE 7 et il peut naviguer sur le net. C'était sa priorité!

[Apollo]

Moi je veux bien, mais bon je trouve que naviguer avec des risques....

Tu m'as compris, mais à sa guise je ne peux pas l'y forcer

 

@++