Analyse HijackThis (transfert forum Sécurisation) [Résolu]

[Philou22]

Bonjour,

 

Suite à mon post sur le forum sécurisation concernant mon impossibilité de passer de la version 9 à la version 10 D'Antivir sans erreur lors de l'installation, Bleuet m'a conseillé de poster mon rapport Hijackthis sur ce forum.

La 1ère installation je l'ai faite sans désinstaller la version 9. Mais cela a abouti à un échec. J'ai utilisé un outil qui m'avait été conseillé sur le site : RevoUninstaller pour le supprimer correctement puis CCleaner. Mais pas d'amélioration pour l'installation suivante. Je précise que quand je clique sur OK lors de l'alarme pendant la dépose des composants il poursuit son installation. Le Pb vient que le Scan ne va jamais jusqu'au bout et que le PC se reboot.

Ensuite, La désinstallation via RegistryCleaner en mode sans échec n'a pas pu m'effacer certains fichiers (cf rapport).

 

-Déjà avant ce bug, j'avais des ralentissements et mon PC qui se rebootait sans raison apparente...

 

Adresse du précédent sujet : Impossible d'installer Antivir

http://forum.zebulon.fr/impossible-dinstaller-antivir-t180934.html&p=1520109&fromsearch=1?do=findComment&comment=1520109

 

Je transmets l'analyse Hijacktis (V2.0.2):

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:41:48, on 14/11/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\PASCAL\Bureau\HiJackThis.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Orange : téléphones, forfaits, Internet, actualité, sport, video (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.mi...b?1201456797046

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 5993 bytes

Modifié le 20 novembre 2010 par Philou22

[Apollo]

Salut,

 

On n'utilise pas Revo Uninstaller sur un antivirus!

 

Normalement, il n'y a pas besoin de désinstaller Antivir 9 pour installer la 10 à condition que ce soit la même langue.

 

Hijackthis ne montre que dalle.

 

As-tu essayé d'installer Antivir en mode sans échec? http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe

 

Le Registry Cleaner Avira n'est PAS un désinstallateur total, il ne fait que nettoyer le registre après désinstallation normale d'Antivir par ajout/suppression de programme.

 

Avira n'a aucun remover au contraire des autres solutions. >>

 

Comment supprimer manuellement les programmes incompatibles ?

 

Dès lors je te conseille de demander une aide spécifique pour Antivir sur leur forum si tu continues à rencontrer des problèmes d'installation d'Antivir 10. AntiVir Personal für Windows - Avira Support Forum

 

++

[Philou22]

Bonsoir Apollo,

 

Je n'avais pas désinstaller Antivir 9 avant d'installer Antivir 10, mais tous les deux étaient en français! Et donc à l'installation de la version 10, une erreur m'a été détectée et c'est pour cela que j'ai désinstallé Antivir via Revo uninstaller!

 

Je vais essayer d'installer Antivir en mode sans échec! Si je n'y arrive pas, tu me dis qu'il faut que j'aille sur le forum Antivir! Je te tiens au courant de l'évolution de mon problème.

 

A+

[Apollo]

Re,

 

Je ne t'expédie pas sur le forum Antivir, on peut encore faire des analyses plus poussées mais c'est juste au cas où tu ne parviendrais pas à installer l'antivirus que je te conseille d'y aller. (ils sont quand-même les mieux placés )

 

Ton ordi est tout nu là, et cela ne doit pas traîner! D'autant que tu n'as pas de firewall digne de ce nom.

 

@++

[Philou22]

Rebonsoir Apollo,

 

Je viens d'essayer l'installation en mode sans échec et j'ai exactement le même problème avec une interface me disant que l'installation a échoué et en cliquant sur ok il semble que l'installation se poursuive avec le parapluie qui se met en barre de tâches. Après suppression du programme via ajout/suppression de Windows, la tentative de suppression des clefs de registre via Registry Cleaner se resolde par un échec!

 

Je vais donc poster comme tu me l'as indiqué un post sur le forum d'Avira et je continue malgré tout à suivre ce sujet si tu as d'autres suggestions a me donner car comme tu le dis, je suis actuellement sans Antivirus!

 

A+

[Apollo]

Oui fais leur toujours une demande d'assistance.

 

Tu peux protéger ton pc provisoirement avec une version d'évaluation de Kaspersky Internet Security (30 jours).

Cela te permettra en outre d'analyser et désinfecter le pc au cas où. (après la loooongue mise à jour de départ)

 

Versions d'évaluation

 

Fais ceci stp:

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

 

@++

[Philou22]

Bonjour Apollo,

 

Merci pour ces infos. Je suis en train comme tu me l'as dit de télécharger Kaspersky Internet Security (30 jours). Cette opération m'a pris du temps car il ne voulait pas me l'installer vu qu'il restait des traces de mon ancien AV Avast. J'ai du après de nombreux essais utiliser le désinstalleur dans les programmes incompatibles. Je vais faire un Scan, une fois l'install finie.

 

Je te posterai ensuite le rapport ZHPDiag.

 

Merci pour ton aide.

A+

[Philou22]

Re Apollo,

 

J'ai procédé à l'installation de Kaspersky Internet Security (30 jours). Du coup, j'ai fait un SCAN complet qui m'a détecté 3 chevaux de Troie Backdoor.Win32.clampi.bn.

 

J'ai lancé ZHPDiag.En cliquant sur le tournevis ( j'ai gardé la sélection sans mettre select all) puis j'ai cliqué sur la loupe. AV m'a demandé de confirmer plusieurs fois des autorisations, dont pour le programme mbr.exe (je crois), ce que j'ai fait!

 

Mon PC s'est planté lors de la recherche MasterBootRecord infection (080). Obliger de le redémarrer physiquement. Vérification du système FAT32 au boot. Détection de 96ko dans des secteurs défectueux.

 

Essai relance ZHPDiag avec les mêmes conséquences et au même endroit sauf qu'aucune autorisation m'a été demandée.

 

Merci pour tes futures infos.

 

A+

[Apollo]

Bonjour,

 

S'il restait des traces d'Avast, c'est normal que tu éprouves des difficultés d'installation d'un autre antivirus.

 

Tu as bien fait de lire la page sur les incompatibles. Seul, MBAM est toléré.

 

@++

[Apollo]

Re,

 

Les outils spéciaux font réagir Kaspersky et c'est normal; quand on sait à quoi on a affaire, il faut donner l'autorisation totale. (je me sers de ZHPDiag sans le moindre problème).

 

Tu avais fait une analyse complète du pc avec KIS? Peux-tu poster son rapport stp?

 

Qu'à cela ne tienne pour ZHPDiag, on va procéder autrement:

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

N'héberge les fichiers que lorsqu'on le demande stp, sinon poste-les en clair. Merci.

 

@++