Analyse rapport HijackThis virus et autres questions

[Semeur]

Bonsoir,

 

Depuis un bon bout de temps, il arrive occasionnellement et cela journalièrement que pendant 1 minute à 3 minutes, lorsque je vais sur un site ou l'autre, il rame pour ce rendre sur le site. Je dois recommencer à plusieurs reprises avant qu'il finisse par ce rendre sur le site.

 

J'ai remarqué que parfois (rarement), lorsque je suis dans un courriel sous hotmail, un courriel qui semble vierge est envoyé automatiquement.

 

J'ai remarqué aussi que dans la barre en bas de l'écran qui indique le déroulement de la connexion au site, il indique qu'il y a des transferts de données, de ou vers (je ne sais pas) un site qui ne me dit rien. Voici un exemple de site: yieldmanager.com...

 

Répondre dans le fil suivant à la partie indenté ci-bas:

Voici un

s

ite qui

s

emble fait pour d

é

truire cette fuite ver

s

yieldmanager.com:

Content.yieldmanager.com Removal In

s

truction

s

- Guide To Remove Content.yieldmanager Permanently

 

Q01-

E

s

t-ce un comportement normal?

Q02-

E

s

t-ce un bon

s

ite pour r

é

s

oudre ce probl

è

me ou c'e

s

t un pi

è

ge?

Barr

é

car r

é

pondu

Q03-

Quel

s

olution propo

s

ez-vou

s

?

Q04-

E

s

t-il po

s

s

ible d'avoir un logiciel gratuit qui trappe ce qui

s

'

é

crit dan

s

cette barre afin de voir ce qui entre et ce qui

s

ort du navigateur?

 

Voici des spécifications sur mon système:

 

S

y

s

t

è

me: Micro

s

oft Window

s

XP Profe

s

s

ionnal x64 Edition Ver

s

ion 2003

S

P1

Antiviru

s

: Ava

s

t 5.0.594

Nacigateur: Firefox 3.6.10

 

Avant de lancer hijackthis j'ai exécuté:

S

pybot -

S

earch and De

s

troy 1.6.2.46

Malwarebyte

s

' Anti-Malware 1.46

CCleaner v2.35.1223

 

Après avoir lancé hijackthis, j'ai lancé RSIT 64 et cela a produit: info.txt et log.txt.

 

Voici le rapport produit par hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:27, on 2010-09-26
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
E:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files (x86)\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files (x86)\Samsung\NetworkScan\NSCSysTrayUI.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files (x86)\Brownie\brpjp04a.exe
C:\Program Files (x86)\Java\jre6\bin\jucheck.exe
C:\Program Files\Aquarium\Aquarium.exe
E:\Program Files Microsoft Office\Office\WINWORD.EXE
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [VIAJDS] "C:\Program Files (x86)\VIA\VIAudioi\HDADeck\VIAJDS.exe"
O4 - HKLM\..\Run: [HDAudDeck] "C:\Program Files (x86)\VIA\VIAudioi\HDADeck\HDeck.exe" 1
O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [NSCSysTrayUI] "C:\Program Files (x86)\Samsung\NetworkScan\NSCSysTrayUI.exe" /HIDEUI
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [brStsWnd] "C:\Program Files (x86)\Brownie\BrstsW64.exe" Autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - E:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 7190 bytes

 

Q05- Pouvez-vous y trouver ce qui doit être corrigé ?Barré car obsolète

 

Q06- Avez-vous de la documentation à me proposer qui me permettrait de me débrouiller d'une façon plus autonome dans l'interprétation de ce rapport?Barré car obsolète

 

Édit: Je viens de trouver ceci comme documentation.

 

Merci de me répondre.

Modifié le 29 mars 2011 par Semeur

[timat]

Bonjour,

Je suis loin d'être un spécialiste mais je serais toi je commencerais par une analyse approfondie avec Mawarebyte anti-malware que tu dois trouver facilement à télécharger sur zebulon ou sur le net à telecharger.com par exemple.

Une fois telecharger tu commence par une mise à jour du logiciel et tu clique analyse approfondie. Il devarit déjà te résoudre quelques problèmes dans l'attente de ta prise en charge par un spécialiste ici. Conserve le rapport de fin de scan il te sera demandé.

Bon courage

[Semeur]

je commencerais par une analyse approfondie avec Mawarebyte anti-malware

 

Comme je l'ai indiqué dans mon message précédent, j'ai exécuté Malwarebytes' Anti-Malware 1.46. Ce que tu me suggère, est-ce une autre façon de l'écrire ou est-ce un autre logiciel ?

 

Shalom !

Modifié le 27 septembre 2010 par Semeur

[timat]

Bonjour,

Désolé semeur je n'avais pas lu suffisament attentivement ton message. Donc je ne peux rien de plus pour toi

Bon courage

[timat]

Re un truc quand même, ton rapport hijack fait apparaître des choses bizares et notamment un malware donc prudence dans l'attente d'une erradication par un spécialiste

[Semeur]

Bonjour Apollo,

 

Je viens de lire ceci sous le fil Procédure de demande d'aide et désinfection nettoyage

 

Mettez à jour Internet Explorer s'il est en version 6 ou 7, même si vous ne l'utilisez pas.

Étant donné que sur un autre fil de votre site jai lu que vous conseillez que seul un intervenant intervienne alors cest pourquoi je te pose la question suivante :

 

Q07- Veux-tu que je mette à jour Internet Explorer et que je reproduise les rapports par RSIT 64 ou tu débutes ton intervention avec la situation présente?Barré car obsolète étant donné la non réponse, en mars 2011 j'ai mis-à-jour IE. Je suis rendue à IE8.

 

2010-10-01 Je viens d'exécuter CCleaner V2.36.1233

 

Shalom!

Modifié le 29 mars 2011 par Semeur

[Semeur]

Bonjour,

 

Je fais un "up" car j'ai du nouveau et cela fait un bon bout de temps que je n'ai pas eu de réponse.

 

Je ne sais pas si je dois ouvrir un nouveau fil pour souligner le nouveau problème.

 

Je tentais d'aller sous laposte.net et j'ai reçu un message de Windows Security Alert (

Il me semble que je n'ai pas installé Winsows Security Alert et je ne le vois pas dans ajout supprimer programme) qui me présente en anglais une liste de 12 spyware et/ou adware. Il m'offre un bouton dont il est écrit dessus: "Remove all".

 

Q08- Pourquoi ce n'est pas Avast qui a détecté cela ?Barré car obsolète

 

Q09- Dois-je peser sur le bouton ?Barré car obsolète

 

De plus, une fenêtre m'est apparu me demandant de télécharger packupdate107_2112.exe. J'ai dit oui mais je ne l'ai pas exécuté. Je suis allé voir sur internet ce qu'on en dit de cet exécutable et j'ai trouvé ici que c'est un programme de sécurité frauduleux.

 

Q10- Comment enlever le bout de code sur mon ordi qui m'a demandé, sans que je le demande, de télécharger cet exécutable ?

 

Je viens de vérifier si un des 12 est vraiment un virus. J'ai choisi de vérifier si je suis vraiment infecté par Trojan.DownLoad.16849 qui est le premier des 12 dans la liste. Ici je constate que c'est un virus. Ce qu'il me reste à savoir, c'est de voir si réellement mon poste est infecté par ce virus. Dans la liste, on m'indique que l'exécutable de ce virus est tree.com. Je retrouve ce fichier sur mon PC dans ce répertoire: C:\WINDOWS\system32. Si je me fie à ce site, il semble que ce module dans ce répertoire est un module de XP. Donc pas un virus. Je ne sais pas quoi penser de ceci.

 

Q11- Que penser de ceci?

 

L'exécution de Malwarebytes' Anti-Malware 1.46 (Version de la base de données: 4052) vient de se terminer. Il n'a rien trouvé.

 

Q12- Si j'avais réellement le Trojan.DownLoad.16849, l'aurait-il trouvé ?

 

Shalom!

Modifié le 7 octobre 2010 par Semeur

[Apollo]

Bonjour,

 

Tu vois, le fait de poster dans deux topics et on ne sait pas te suivre parce que pas de notifications email.

 

STP, reste dans ce sujet-ci et n'en change plus.

 

MalwareBytes est loin d'être à jour on en est à: Version de la base de données: 4736

 

Donc, fais la mise à jour depuis l'interface du logiciel.

 

Je te mets la procédure habituelle.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

Poste également un nouveau log RSIT stp.

 

@++

[Semeur]

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Il n'a rien trouvé. Voici le mbam-log-2010-10-03 (20-23-04).txt.

 

Poste également un nouveau log RSIT stp.

Voici info.txt et log.txt.

 

Édit: Je viens de modifier mes liens dans ce message car ils ne fonctionnaient pas.

 

Shalom!

Modifié le 4 octobre 2010 par Semeur

[Apollo]

Bonjour,

 

Remplace ton antivirus.

Ton antivirus est Avast.

 

Avast n'est pas sûr. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

 

Je pense qu'il serait mieux protégé avec Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

 

• Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
  
• Redémarre le PC pour achever la désinstallation
  
• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
   
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

Modifié le 4 octobre 2010 par Apollo