Rapport HijackThis

[Belles]

Bonjour,

Je viens d'installer HijackThis sur la demande de Lavasoft. En effet leur logiciel AAW semble avoir installé un fichier incomp&atible avec Nod32 (mon antivirus). Utilisateur de votre forum sans être inscrit auparavant pour de la maintenance de PC je m'adresse à vous car Je ne sais pas interpreter le Rapport HijackThis.

 

Quels sont les lignes à cocher "Fix checked"

Merdi pour votre aide, patience et savoir

 

Belles

 

PS je ne trouve pas de bouton pour charger le log donc je le copie directement dsl.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:24:16, on 28/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Tools\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sitecom\Logiciel Bluetooth\BTTray.exe

C:\Program Files\Tools\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Tools Web\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Program Files\Tools Web\Lavasoft\Ad-Aware\aawservice.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Tools\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [uSB Safely Remove] C:\Program Files\Tools\USB Safely Remove\USBSafelyRemove.exe /startup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\TOOLSW~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.batiweb.com

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Tools Web\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Serge/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

 

--

End of file - 6489 bytes

[Apollo]

Bonsoir,bienvenue.

 

Peux-tu préciser le message que NOD32 te donne?

[Apollo]

Re,

 

On va vérifier quelque-chose:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@+tard

[Belles]

J'ai pas eu le temps de répondre

Merci Apollo

Le message Nod32 :

Date et heure Module Objet Nom Menace Action Utilisateur Info

21/10/2008 14:28:00 Kernel fichier c:\windows\system32\dfyuttnjp.exe une variante de Win32/Adware.NaviPromo application

Est-ce que je suis la procédure décrite dans le 2° message ?

[Apollo]

Oui

 

MBAM devrait lui régler en partie son compte; je verrais d'après le rapport.

 

Lis bien les instructions et n'omets surtout pas la mention en rouge, c'est important.

 

@ ++

[Belles]

C'est en cours d'examen ... j'editerais à la fin pour te donner le résultat.

Merci encore

[Apollo]

Non non

 

N'édite pas ^^

 

Je n'aurais pas de notification email.

 

Utilise le bouton réponse entre flash et nouveau.

 

@ tout à l'heure

[Belles]

Bon cela fait 1h30 que cela tourne et je dois rentrer chez moi. Il a déjà trouvé 5 éléments infectés. Je posterais un nouveau message demain avec les résultats.

 

J'ai trouvé une autre piste si celle là ne marche pas "Navilog1 by IL-MAFIOSO"

Proposée sur le forum de Lavasoft (éditeur AAW) Connais tu ?

 

Edit :

Windows à fait un update pendant la nuit et s'est permis de redemarrer donc je n'ai pas pu voir, réparer et enregistrer le Log.

Je recommence le scan Malwarebytes' Anti-Malware (MBAM) puis je ferais le suivant.

Un Edit permet de pas vous déranger

Modifié le 29 octobre 2008 par Belles

[Apollo]

re,

 

heureusement que je connais cet outil

 

Je comptais te le faire passer mais on peut le faire dès à présent; laisse tourner MBAM car il pourrait trouver autre-chose.

 

 

Fais un clic droit sur ce lien : Navilog1 par IL-MAFIOSO .

Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Certains antivirus réagissent à Navilog1, désactiver provisoirement l'antivirus en cas de problème.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

 

Ne passe aucune autre option avant qu'on ne te le dise.

 

++

[Belles]

Pour commencer voici le log MBAM

Navilog1 tourne actuellement. J'ajouterais les résultats plus tard.

 

Tout à été réparé et j'imagine que le reboot à réparé le reste. Le PC appartient à mon associé ce qui explique la ligne sex

(Tu me diras que l'excuse est facile

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1335

Windows 5.1.2600 Service Pack 3

 

29/10/2008 19:51:22

mbam-log-2008-10-29 (19-51-22).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 97320

Temps écoulé: 4 hour(s), 39 minute(s), 37 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 5

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 7

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018b7ec3-eeca-11d3-8e71-0000e82c6c0d} (Adware.ISTBar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5f4d3335-3194-4167-85ae-e7325f2695ef} (Adware.EGDAccess) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\Instant Access (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Center (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Multi (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Multi\20061106221117 (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Multi\20061106221117\Common (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Multi\20061106221117\js (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Multi\20061106221117\medias (Adware.EGDAccess) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files\Instant Access\Center\sexe69.upd (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Program Files\Instant Access\Center\Thumbs.db (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\pchealth\helpctr\binaries\secdrive.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\VTkMgr.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\PCHealth\HelpCtr\Binaries\VTskMgr.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\svchost.exe (Backdoor.Bot) -> Delete on reboot.

C:\WINDOWS\pchealth\helpctr\binaries\lsass.exe (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\tmlpcert2007 (Adware.EGDAccess) -> Delete on reboot.

Modifié le 29 octobre 2008 par Belles