"Résolu" Log hijackthis à analyser SVP

speck41

Posté(e) le 22 janvier 2009

Auteur

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Re-bonjour, voici les rapports demandés, J'aimerais te dire que suite à cette manipulation, AntiVir a accepté de s'updater pour la première fois depuis que cette merde infectait mon ordinateur. Aussi, par supports amovible, veux tu parler de lecteur mp3, GPS etc. ? Si oui, je ne sais pas comment les analyser. J'ai un GPS tomtom, un iPod et un lecteur mp3 qui sont branchés à l'occasion à cet ordinateur.

Bon, voici les rapports:

SmitFraudFix v2.391

Rapport fait à 9:18:15,40, 2009-01-22

Executé à partir de C:\Documents and Settings\Famille Kelly Begin\Bureau\D‚sinfection\5-SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Connexion réseau Intel® PRO/100 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 85.255.116.69

DNS Server Search Order: 85.255.112.110

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0F2AB3A-D1E7-478C-88C0-07ADF9334145}: NameServer=85.255.116.69,85.255.112.110

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B0F2AB3A-D1E7-478C-88C0-07ADF9334145}: NameServer=85.255.116.69,85.255.112.110

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B0F2AB3A-D1E7-478C-88C0-07ADF9334145}: NameServer=85.255.116.69,85.255.112.110

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.69,85.255.112.110

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.69,85.255.112.110

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.69,85.255.112.110

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

------------------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:37:07, on 2009-01-22

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\Nero\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\PROGRA~1\REPARE~1\VCOM\Fix-It\mxtask.exe

D:\Program Files\Network Magic\nmapp.exe

C:\Program Files\iolo\common\lib\ioloServiceManager.exe

C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmctxth.exe

D:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Famille Kelly Begin\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\WINDOWS\system32\WebUpdateSvc.exe

D:\PROGRA~1\REPARE~1\VCOM\Fix-It\mxtask.exe

C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmsrvc.exe

C:\Documents and Settings\Famille Kelly Begin\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [nmapp] "D:\Program Files\Network Magic\nmapp.exe" -autorun -nosplash

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [nmctxth] "C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmctxth.exe"

O4 - HKLM\..\Run: [smcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [WeatherEye] D:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Startup: Outil de notification Live Search.lnk = Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shock...ash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - D:\Program Files\ImpotRapide 2007\ic2007pp.dll

O20 - Winlogon Notify: !SASWinLogon - D:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\a-squared Free\a2service.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: Fix-It Task Manager - Avanquest Publishing USA, Inc. - D:\PROGRA~1\REPARE~1\VCOM\Fix-It\mxtask.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Program Files\Nero\InCD\InCDsrv.exe

O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe

O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pure Networks Net2Go Service (nmraapache) - Pure Networks, Inc. - D:\Program Files\Network Magic\WebServer\bin\nmraapache.exe

O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmsrvc.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\Windows Live\Messenger\usnsvc.exe (file missing)

O23 - Service: Web Update Service by PowerProgrammer (WebUpdate) - Data Perceptions / PowerProgrammer - C:\WINDOWS\system32\WebUpdateSvc.exe

O23 - Service: Windows Search (WSearch) - Unknown owner - C:\WINDOWS\system32\SearchIndexer.exe (file missing)

--

End of file - 8346 bytes

----------------------------------------------------------------------------------------------------------------------------------

Encore une fois un très gros merci.

Speck41

Citer

Lien vers le commentaire

Partager sur d’autres sites

Apollo

Posté(e) le 22 janvier 2009

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Le rapport SmifraudFix de l'option 5 semble tronqué, vérifie stp.

Je regarde le log.

Citer

Lien vers le commentaire

Partager sur d’autres sites

Apollo

Posté(e) le 22 janvier 2009

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

Pour supprimer le lancement de ctfmon.exe au démarrage:

Va dans Panneau de configuration/Options régionales et linguistiques/Langues, clique sur Détails puis sur Barre de langue et coche la case "Arrêtez les services de texte avancés".

Clique sur OK autant de fois que nécessaire pour enregistrer la modification.

++

Citer

Lien vers le commentaire

Partager sur d’autres sites

speck41

Posté(e) le 22 janvier 2009

Auteur

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Je viens de le refaire, je suis pas capable de l'analyser, alors, je te le colle ici. En passant, une réponse rapide comme ça on dit "vite comme l'éclair" ?

SmitFraudFix v2.391

Rapport fait à 9:50:29,70, 2009-01-22

Executé à partir de C:\Documents and Settings\Famille Kelly Begin\Bureau\D‚sinfection\5-SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Connexion réseau Intel® PRO/100 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 64.18.160.73

DNS Server Search Order: 64.18.160.74

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0F2AB3A-D1E7-478C-88C0-07ADF9334145}: DhcpNameServer=64.18.160.73 64.18.160.74

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Connexion réseau Intel® PRO/100 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 64.18.160.73

DNS Server Search Order: 64.18.160.74

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0F2AB3A-D1E7-478C-88C0-07ADF9334145}: DhcpNameServer=64.18.160.73 64.18.160.74

Je ne sais plus comment te remercier.....

Speck41

Citer

Lien vers le commentaire

Partager sur d’autres sites

Apollo

Posté(e) le 22 janvier 2009

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Bah offre-moi une chope , je plaisante

On va s'occuper de tes supports amobibles:

Tu vas réutiliser MBAM mais avec les supports amovibles branchés (clé usb, cartes flash, lecteur mp3, disque externe...) C'est d'ailleurs indiqué en gras dans l'explication de MBAM.

Refais alors une analyse complète; si ça ne suffit pas on utilisera un + gros calibre.

@++

Citer

Lien vers le commentaire

Partager sur d’autres sites

speck41

Posté(e) le 22 janvier 2009

Auteur

- Signaler
- Partager

Posté(e) le 22 janvier 2009

Après avoir fait tout ce que tu m'as conseillé, ça a l'air d'aller mieux. Je te repost un rapport hijackThis pour ta conclusion.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:15:11, on 2009-01-22

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Program Files\Nero\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

D:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\PROGRA~1\REPARE~1\VCOM\Fix-It\mxtask.exe

C:\Program Files\iolo\common\lib\ioloServiceManager.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WebUpdateSvc.exe

C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmsrvc.exe

D:\PROGRA~1\REPARE~1\VCOM\Fix-It\mxtask.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Network Magic\nmapp.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Pure Networks Shared\Platform\nmctxth.exe

D:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

C:\Documents and Settings\Famille Kelly Begin\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\Documents and Settings\Famille Kelly Begin\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

D:\Program Files\ Firefox\firefox.exe