Rapport Highjackthis

[schrek]

Bonjour,

 

Je transmet un rapport highjackthis, est-ce que quelqu'un peux me l'interpreter et me dire ce qui ne colle pas.

 

Le truc c'est qu'apparemment je ne recois pas tous mes mails.

 

Je vous remercie d'avance.

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:34:27, on 24/06/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

e:\Program Files\Microsoft Security Essentials\MsMpEng.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\fsproflt.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\system32\UAService7.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\Mixer.exe

E:\Program Files\Microsoft Security Essentials\msseces.exe

E:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

E:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Brother\ControlCenter3\brccMCtl.exe

E:\Program Files\Brother\Brmfcmon\BrMfcmon.exe

E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

E:\Program Files\Messenger\msmsgs.exe

E:\WINDOWS\system32\wuauclt.exe

E:\Documents and Settings\Parents\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - E:\Program Files\DVDVideoSoft\tbDVDV.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - E:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - E:\Program Files\DVDVideoSoft\tbDVDV.dll

O3 - Toolbar: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - E:\Program Files\DVDVideoSoft\tbDVDV.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [MSSE] "e:\Program Files\Microsoft Security Essentials\msseces.exe" -hide -runkey

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sSBkgdUpdate] "E:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] "E:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"

O4 - HKLM\..\Run: [indexSearch] "E:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [PPort11reminder] "E:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "E:\Documents and Settings\All Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM\..\Run: [brMfcWnd] E:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] E:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - E:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - E:\WINDOWS\system32\services.exe

O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - E:\WINDOWS\system32\fsproflt.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - E:\WINDOWS\system32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - E:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - E:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - E:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - E:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - E:\WINDOWS\system32\smlogsvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - E:\WINDOWS\system32\UAService7.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - E:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - E:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 7355 bytes

[Tibonhomme]

Bonsoir schrek,

Bienvenue sur le forum

 

Comme tu es nouveau / nouvelle, voici quelques informations qui te seront utiles :

Comment participer à un forum
Retrouver ses messages et activer la notification par email

Le truc c'est qu'apparemment je ne recois pas tous mes mails.

Si tu en reçois tout de même certains, je pense plutôt à un souci de configuration de messagerie, de connexion ou d'application qui gêne parfois la réception des mails.

 

Par hasard, cette application ne serait-elle pas en cause :

O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - E:\WINDOWS\system32\fsproflt.exe

 

Ce qui "ne colle pas", c'est plutôt cela :

Platform: Windows XP SP2 (WinNT 5.01.2600)

Il sera impératif de mettre à jour ton système (il a 2 ans de retard ). Je t'indiquerai comment procéder si le pc est propre.

 

Désinstaller Spybot Search & Destroy (une vraie plaie!) :

Il n'est plus efficace ni pertinent aujourd'hui, et crée plus de soucis qu'il n'apporte de protection. Sa vaccination pose problème car si on ne l'ôte pas, avant désinstallation de Spybot (ou avant désinfection), elle demeure et protège les fichiers vaccinés (et les clés de registre surveillées) contre toute modification, même volontaire et légitime. Les ajouts au fichier hosts (liste de sites répertoriés malveillants) effectués par Spybot ne sauraient se comparer à un véritable gestionnaire de fichier hosts. La protection du registre n'en est pas vraiment une, seule une partie du registre étant sous surveillance. Les modifications apportées au navigateur Internet Explorer peuvent provoquer des blocages. Cela fait beaucoup pour une très piètre protection.

 

Si Spybot Search & Destroy est installé, suivre la procédure ci-dessous pour le désinstaller correctement.

Si Spybot Search & Destroy a été désinstallé sans suivre la procédure, le réinstaller et appliquer la méthode ci-dessous.

• Double-clique sur l'icône Spybot S&D ( sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur)
  
• Options avancées : Menu Mode / coche Mode avancé.
  
• Puis clique sur Outils / Résident / décoche les 2 cases Tea Timer et SD Helper si elles sont cochées.
  
• Puis clique sur Vaccination puis sur Annuler la vaccination (flèche bleue). Aucun élément ne doit plus être protégé.
  Si des entrées de démarrage ont été décochées avec Spybot, les recocher.
  Si des modifications sur Internet Explorer ont été apportées, remettre Internet Explorer en configuration par défaut et annuler toutes les modifications, supprimer toutes les protections additionnelles :
  
• Menu Outils : Une liste apparaît en fenêtre gauche.
  
• Dans Ajustements IE / décocher tout ce qui a été coché.
  
• Dans Démarrage système / recocher les cases décochées.
  
• Dans Fichier Hosts / Cliquer sur Supprimer liste hosts Spybot S&D
  
  
• Fermer Spybot S&D

 

Sous Windows XP

 

Désinstalle Spybot S&D par Ajout / Suppression de programmes

 

Supprime les dossiers Spybot S&D (voir ci-dessous pour visualiser les fichiers cachés) :

• C:\Program Files\Spybot - Search & Destroy
  
• C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
  
• C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ Spybot - Search & Destroy
  

Pour visualiser les fichiers et dossiers cachés sous XP :

• Double-clique sur Poste de travail / onglet Outils / Options des dossiers / Affichage
  
• Coche la case Afficher les fichiers et les dossiers cachés
  
• Décoche les 2 cases Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation (recommandé) - une fenêtre va s'ouvrir, confirme
  
• Puis clique sur Appliquer puis OK.

Tu pourras revenir à l'affichage standard en exécutant les opérations inverses.

 

HijackThis est trop peu causant pour voir ce qui se passe. Procède de la façon suivante, s'il te plaît :

Supprime HiJackThis.exe sur le bureau.

 

Télécharge Random's System Information Tool (RSIT) de random/random :

RSIT, outil d'aide au diagnostic, établit un rapport détaillé sur le système. Il n'opère aucune suppression.

L'enregistrer sur le bureau.

------

Si l'OS est Windows 7 :

• Clic droit sur l'icône de RSIT / Propriétés
  
• Onglet Compatibilité, cocher Executer ce programme en mode de compatibilité pour
  
• Dans la liste déroulante, choisir Windows Vista SP2
  
• Dans Niveau de privilèges, cocher la case Exécuter en tant qu'administrateur
  
• Cliquer sur Appliquer puis Ok.

------

• Double-clique sur RSIT.exe afin de lancer RSIT (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur)
  
• A l'écran Disclaimer, clique sur Continuer
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera. Accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Copie-colle le contenu de log.txt (affiché à l'écran) puis celui de info.txt (réduit dans la Barre des Tâches) dans ton prochain message. Si ces fichiers sont trop longs, mets-les dans 2 messages successifs.
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit

N.B. : pour sélectionner tout le texte une fois dans le rapport texte, appuie sur les touches [Ctrl] + [A], puis clic droit / copier. une fois dans ton nouveau message sur le forum, clic droit puis coller à l'endroit où tu veux coller l'intégralité du texte.

 

Au cas où - tutoriel installation et génération des rapports RSIT :

 

Edit : désolé Tuam, toute une partie (non voulue) du texte se met en gras sans que je puisse modifier.

 

A te lire

Modifié le 24 juin 2010 par Tibonhomme

[Falkra]

Bonjour,

 

pour une analyse, il faut passer par l'autre section, et l'autre groupe.

 

Shreck, ouvre un sujet ici stp, pour analyse :

http://forum.zebulon.fr/analyses-et-eradication-malwares-f51.html