Analyse rapport HijackThis

[carcajou76]

Bonjour,

 

j'ai un problème avec mon PC, apparemment un virus qui ne me permet meme pas d'installer l'antivirus Antivir, j'ai pu faire tourner Spybot Search and Destroy mais la aussi une entrée n'arrive pas a etre eliminé.

Voici le rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 3:37:58 PM, on 4/28/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\dhcp\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

E:\oracle\ora92\bin\omtsreco.exe

E:\oracle\ora92\bin\agntsrvc.exe

C:\WINDOWS\system32\cmd.exe

E:\oracle\ora92\bin\dbsnmp.exe

E:\oracle\ora92\BIN\TNSLSNR.exe

e:\oracle\ora92\bin\ORACLE.EXE

C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\14.tmp

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

G:\Utilities\Utilitaire PC\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.12:9090

R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe

O4 - HKCU\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe

O4 - HKLM\..\Policies\Explorer\Run: []

O4 - HKLM\..\Policies\Explorer\Run: [sys] C:\WINDOWS\Fonts\Fonts.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing)

O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files\Fiddler2\Fiddler.exe" (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gaea-sys.com

O17 - HKLM\Software\..\Telephony: DomainName = gaea-sys.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gaea-sys.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gaea-sys.com

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: OracleMTSRecoveryService - Oracle Corporation - E:\oracle\ora92\bin\omtsreco.exe

O23 - Service: OracleOraHome92Agent - Oracle Corporation - E:\oracle\ora92\bin\agntsrvc.exe

O23 - Service: OracleOraHome92ClientCache - Unknown owner - E:\oracle\ora92\BIN\ONRSD.EXE

O23 - Service: OracleOraHome92HTTPServer - Unknown owner - E:\oracle\ora92\Apache\Apache\apache.exe

O23 - Service: OracleOraHome92PagingServer - Unknown owner - E:\oracle\ora92/bin/pagntsrv.exe

O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - E:\oracle\ora92\BIN\ENCSVC.EXE

O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - E:\oracle\ora92\BIN\AGNTSVC.EXE

O23 - Service: OracleOraHome92TNSListener - Unknown owner - E:\oracle\ora92\BIN\TNSLSNR.exe

O23 - Service: OracleServiceTHEARY - Oracle Corporation - e:\oracle\ora92\bin\ORACLE.EXE

O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe

O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5

c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,0

0,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,6

4,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,0

0,00,00 (file missing)

 

--

End of file - 8997 bytes

 

 

Merci de pouvoir m'aider,

Carcajou.

[pear]

Bonjour,

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer lisez ce Mode opératoire:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Téléchargez ComboFix renommé

sur l'un de ces liens:

http://www.geekstogo.com/forum/redirect.ph...php%3Ftool%3DCF

 

http://www.pitcatsite.fr/dl/loadtool.php?tool=CF

 

Lancez Combofix en double cliquant

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

http://img511.imageshack.us/img511/1874/animation2ko5.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->MsconfigM

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

 

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 31 mai 2009 par Greywolf

[carcajou76]

Bonjour,

 

et tout d'abord merci beaucoup de bien vouloir m'aider.

j'ai téléchargé ComboFix.exe, mais lorsque je l'execute, j'ai le message suivant qui s'affiche :

 

!! ALERT !! It is NOT SAFE to continue!

The contents of the ComboFix package has been compromised.

Please download a fresh copy from:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Note: you may be infected with a file patching virus (Virut)

 

Et rien ne se passe.

 

Que dois je faire ?

Merci d'avance,

Carcajou76.

 

A noter que j'ai essayer ensuite de télécharger COmboFix depuis les differents liens proposés et le resultat a toujours été le meme.

[pear]

Bonjour,

 

Ceci est inquiétant.

you may be infected with a file patching virus (Virut)

 

Sauvegardez vos données sur un autre support de toute urgence.

Un formatage est probable si l'infection est avérée.

 

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

Imprimez ces instructions car , vous allez lancer le mode sans échec qui ne permet la connexion internet.

 

Dr.Web CureIt en mode normal

 

Redémarrez en mode sans échec.

Pour cela:

* Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.

* Sélectionnez "Mode sans échec" et validez].

* Choisir votre compte usuel,.

 

 

* Double cliquez drweb-cureit. puis sur Analyse ;

* Cliquez Ok à l'invite de l'analyse rapide.

Ce scan analyse les processus chargés en mémoire ;

Si des processus infectés sont trouvés, cliquez sur Oui pour tout".

une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;

* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"

* De retour à la fenêtre principale : cliquez pour activer Analyse complète;

* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.

* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.

* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiers détectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable

* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv

* Sauvegardez le rapport sur le Bureau.

* Fermez Dr.Web Cureit

* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.

* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

[carcajou76]

Bonjour,

 

j'ai bien téléchargé l'utilitaire drweb-cureit, mais lorsque je l'execute, j'ai un premier message qui me demande si je veux demarrer le scan maintenant, je clicke OK et ensuite j'ai un message d'erreur :

The instruction at "0x7c88331d" referenced memory at "0x77e427d6". The memory could not be "written".

Click on OK to terminate the program

Click on CANCEL to debug the program

 

et le programme s'arrete.

Je fais tout cela en Mode Sans Echec.

 

Apparemment ça devient difficile de faire quelque chose...

Y a t'il encore une solution ?

Merci d'avance,

Carcajou.

[pear]

Bonjour,

 

C'était à craindre.

L'infection par virut pourrit tous vos fichiers .exe(entre autres).

 

Une nouvelle variante de Virut (Virut ou Scribble, selon les éditeurs) circule et est intraitable, en tout cas pas pour l'instant.

Un formatage est requis donc ne perdez pas de temps à essayer de nettoyer.

On les retrouve dans les cracks (oh surprise..).

Cette infection ouvre les portes et d'autres infections s'ajoutent aux rapports.

 

La seule procédure raisonnable quand l'infection est importante et que plus grand'chose ne fonctionne, c'est la sauvegarde des données suivie d'un formatage et d'une réinstallation de Windows.

 

C'est le prix à payer pour les cracks!

[carcajou76]

Bonjour,

 

c'est ce que je craignais en effet.

Neanmoins les cracks ne sont pas la seule façon de récupérer ce virus, une simple clé USB infecté suffit.

 

Carcajou.