Suis-je Infecté ?

[azer7]

Bonsoir,

 

J'ai analysé avec Zeb Help Process un rapport HijackThis de mon PC et le resultat est que je suis infecté par cette ligne:

 

F2 - REG:system.ini: Shell=x

 

J'ai aussi une ligne "variante" que je ne comprend pas:

 

O13 - Gopher Prefix

 

J'ai fait un scan de mon PC avec Malwarebytes et Spybot et ils n'ont rien détectés.

 

Je n'ai pas encore fixé de lignes, car j'attends des réponses si possible.

 

Merci, d'avance pour vos conseils.

[Apollo]

Bonsoir,

 

O13 - Gopher Prefix: Toujours légitime sous Vista.

 

L'autre bidule laisse entrevoir une infection.

 

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

[azer7]

Bonsoir,

 

Puis-je télécharger la version zip ?

Modifié le 11 avril 2009 par azer7

[Apollo]

Si tu veux mais à quoi bon?

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton .

(celui qui a un petit +, pas celui avec les guillemets)

 

Le bouton ne sert que pour créer le sujet, la première fois uniquement, tu n'en as plus besoin.

 

 

++

[azer7]

Bonsoir,

 

Voila le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:44:07, on 11/04/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Sandboxie\SbieCtrl.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Sandboxie\SandboxieRpcSs.exe

C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe

C:\HijackThis 2.0.2\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

 

--

End of file - 4228 bytes

 

Note: J'avais au début démarré HijackThis dans sandboxie car mon but n'était que de le tester!

Du coup plus de "F2 - REG:system.ini: Shell=x"

Peut-être que l'infection se situé dans la sandbox ?

Modifié le 13 avril 2009 par azer7

[Apollo]

Il n'y a rien dans ce log qui soit louche.

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

Lance Hijackthis "do a system scan only" (clic droit/exécuter comme administratuer sous Vista) et coche les cases devant les lignes suivantes:

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

 

Ferme les appli en cours et Fix Checked.

 

C'est clean.

 

@++

[azer7]

Bonsoir,

 

J'ai maintenant fixé les 3 lignes, mais j'ai quand même un problème avec mon PC depuis 5 jours, un problème de lenteur qui survient dé fois après 1 à 2 heures d'utilisation, d'autres fois quasiment au démarrage et qui se termine par une utilisation impossible au point d'être obligé de forcer le PC à redémarré, je me retrouve aussi avec le processus -> "CCC.exe" qui vient du pilote ATI (qui bloque au moment où le PC quitte), pourtant je n'ai jamais installé de nouveau pilote ou autre chose, je me contente de naviguer sur le net ou d'installer des logiciels libres, j'ai récemment installé Nexuiz 2.5 et OpenArena v0.8.1 et le premier plantage que j'avais eu c'était en faisant une partie avec Nexus (plantage en voulant quitter) puis avec OpenArena (bug de lenteur pendant une partie).

 

Note: J'ai l'habitude de surfer sur le net sans problèmes et de faire des parties d'OpenArena sans problèmes.

 

Merci d'avance pour vos conseils.

Modifié le 13 avril 2009 par azer7

[Apollo]

Re,

 

Lenteur ne veut pas toujours dire infection...

 

On va voir plus loin:

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista: Clic droit/exécuter en temps qu'administrateur.
  Toujours sous VISTA: décocher la case Prefetch. (normalement grisée)
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

******************

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si le lien ne fonctionne pas, télécharger ICI

 

 

Ce logiciel est à garder, il rendra encore de grands services!

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

Mises à jour + récentes pour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, redémarre le pc.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!!

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@++

[azer7]

Bonsoir,

 

Lenteur ne veut pas toujours dire infection...

 

C'est ce que je pense, peut-être une défragmentation résoudrait tout ou bien il y a un problème matériel ?

 

Sinon, j'ai passé un coup d'ATF Cleaner et puis j'ai effectué un scan avec Malwarebytes mais il n'a rien détecté.

J'utilise toujours sandboxie pour surfer, donc je ne crois pas avoir été infecté lors du surf et même les jeux passent par la sandbox, à moins qu'une attaque est passé par mon pare-feu ZoneAlarm ce qui est possible car les applications qui passe dans sandboxie évitent le PC de s'infecter.

 

Merci d'avance pour vos conseils.

Modifié le 13 avril 2009 par azer7

[Apollo]

Re,

 

Si tu veux faire une défragmentation, il est utile de faire un bon nettoyage avant.

 

Un bon défragmenteur gratuit et rapide: http://www.auslogics.com/en/software/disk-defrag/download

 

Tu as un bon outil de nettoyage et d'optimisation mais il y a des options à éviter comme la recherche de doublons quand on n'est pas un utilisateur très avancé: Je parle de Glary Utilities, un petit frère de Tune Up.

 

Attention aussi à bien décocher les DEUX cases proposant Ask Toolbar pendant l'installation.

 

Plus d'infos sur le forum de Marie: http://www.vista-xp.fr/forum/topic2328.html

 

Voilà, espérant que cela te rendre service.

 

@++