[Resolu by Falkra] rapport hijackthis-3

[Arthiesis]

Bonjour à tous,

 

Je viens vous soumettre un troisième rapport, celui là pas beau lolll

 

Merci pour votre aide

 

HH

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:40:34, on 08/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\vVX1000.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

E:\GigaTribe\gigatribe.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Administrateur\Mes documents\Mes réceptions GigaTribe\buffy_999\HiJackThis\HiJackThis.exe

C:\WINDOWS\AhnRpta.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xeoo.com/?p=h&a=f

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: GigaTribe.lnk = E:\GigaTribe\gigatribe.exe

O4 - Global Startup: WiFi Station pour Livebox.lnk = ?

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 5366 bytes

Modifié le 11 juillet 2009 par Arthiesis

[Falkra]

Bonjour,

 

pas beau, en effet. Tu as déjà utilisé MBAM dessus (je demande à cause de l'avatar) ?

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[Arthiesis]

Re,

 

Bon, elle a eu deux rapports car au premier passage de mbam, celui ci lui a dit qu'il ne pouvait pas supprimer etc.... elle a redémarré et là elle a refais une analyse qui s'avère cette fois vierge.

 

Je colle le rapport vierge de toute infection mais j'ai également le premier au cas ou !!

 

9 infections au premier passage aie mes dents mdrrrr

 

 

Malwarebytes' Anti-Malware 1.38

Version de la base de données: 2390

Windows 5.1.2600 Service Pack 3

 

08/07/2009 10:43:49

mbam-log-2009-07-08 (10-43-49).txt

 

Type de recherche: Examen rapide

Eléments examinés: 82308

Temps écoulé: 6 minute(s), 16 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Falkra]

Télécharge OTMoveIt (OTM) par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe 
  :files
  C:\WINDOWS\AhnRpta.exe
  
  :reg 
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "cdoosoft"=-
  
  :commands
  [emptytemp]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[Arthiesis]

Re,

 

Aie aie aie tu vas rire, je ris également mais jaune. Elle a été coller le rapport hijackthis dans la fenetre de otmvelt

ALors comment et pourquoi je ne sais pas trop mais voilà ce qui a été fait !!

 

Je reste zen mdrrrr !

 

Elle a refait l'opération avec le bon code mais elle ne trouve pas le rapport.

 

De plus, apparemment son erreur à eu une incidence sur quelque chose car voilà que lorsqu'elle clique sur son icône messenger pour m'envoyer le rapport qu'elle n'a pas trouver le programme n'est plus trouvé !! pfffffffffffff

 

Le rapport Hijack n'étant pas une commande ça m'étonne quand même qu'il y ai incidence et j'avoue qu'il serait bien qu'il n'y ai pas !!

 

le rapport OTMovelt elle ne le trouve pas !!!

 

dsl de te soumettre ces complications

[Falkra]

Aie aie aie tu vas rire

Ben pas vraiment, mais bon, sans les commandes, normalement il ne se passe rien... heureusement remarque...

 

Pour le rapport il faut aller dans C:\_OTM\MovedFiles\

et ensuite le fichier est daté, au fait c'est qui "elle", parce que tu ne l'as pas dit, et je pensais que tu t'occupais directement de la machine (ce qui serait peut-être moins risqué, remarque).

[Arthiesis]

Oui et j'aurai terminé, vos procédures sont extrèmement simples à suivre et à appliquer correctement...... mais là elle a mal copié le code et avait encore le rapport hijack dans le presse papier oups elle n'a pas cherché a comprendre !

depuis plus de msn, lui fait faire un nettoyage car même après avoir supp tout ce qui a rapport à msn messenger il y a erreur lorsque qu'elle reinstalle la dernière version !!

 

un conflit alors j'ai l'intention de lui faire passer ccleaner pour nettoyer le registre de tout ça !

et relancer son install MSN elle ne sais utiliser que ça et ses pages web ! oups et pourtant je lui fait vérifier qu'elle a tout comme il faut et pour le rapport hijack qu'elle a collé elle m'a pourtant dis oui c'est bon pfffffff

bon pas moyen qu'elle trouve ce rapport OTMovelt, je lui ferai repasser une fois son msn remis elle panique avec ça pfff

 

dsl vraiment, j'assiste souvent la famille ou ami au tel et eux ils suivent ce qui est dit dans les réponses ici mais là j'avoue que ça me dépasse un peu !

J'ai peur d'un conflit avec son mauvais copié collé !!! (je pense comme toi, aps de commande :process etc mais ??? pkoi au reboot car il a fallu rebooter, plus moyen de lancer msn, trouvais plus le chemin.... on saura pas car je n'ai jamais entendu une telle manip alors là c'est l'inconnu...

 

je te tiens au courant..

[Falkra]

un conflit alors j'ai l'intention de lui faire passer ccleaner pour nettoyer le registre de tout ça !

Les nettoyeurs de ce type peuvent faire des dégâts, attention à ne pas considérer ça comme la panacée.

 

Au pire un nouveau rapport HJT, mais bon, il faut qu'on passe ce script correctement...

[Arthiesis]

Les nettoyeurs de ce type peuvent faire des dégâts, attention à ne pas considérer ça comme la panacée.

 

Au pire un nouveau rapport HJT, mais bon, il faut qu'on passe ce script correctement...

 

Oui en fait je vais lui demander ceci, passer le scropt OTM correctement et trouver le rapport, ensuite un HJT ppour info, pour cclean.. Je n'aime pas non plus ce genre de log, je trouve ça un peu trop bourrin de tout virer sans parler "en effet" des dégâts qeu l'on peut ajouter et là il y en a assez à mon goût !

merci pour ce petit rappel je te tiens au courant j'attends son retour....

[Arthiesis]

bon.......voici donc le rapport OTMovelt

 

*File/Folder C:\WINDOWS\AhnRpta.exe not found.

File/Folder not found.

File/Folder :reg not found.

File/Folder [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] not found.

File/Folder "cdoosoft"=- not found.

File/Folder not found.

File/Folder :commands not found.

File/Folder [emptytemp] not found.

File/Folder [start explorer] not found.

 

Created on 07/08/2009 17:50:10

 

 

je lui ai demandé un rapport Hjt au cas ou....

 

dsl pour cet intermède folklorique loll