[Résolu] Rapport HijackThis suite à nettoyage infection

[nyny34]

Bonsoir

 

je poste un rapport hijackthis pour savoir si tout est nikel après nettoyage infection dectecté par ZHP

 

Rapport après nettoyage

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011

Fichier d'export Registre :

Run by tania at 26/09/2011 21:23:39

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Fichier(s) ==========

c:\windows\system32\srvany.exe => Fichier absent

 

 

========== Récapitulatif ==========

1 : Fichier(s)

 

 

End of the scan

 

AD-Remover, Malwarebytes ne m'ont rien détecté

 

Rapport hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:11:59, on 26/09/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\tania\Bureau\Securité\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1301240285421

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 6870 bytes

 

Merci pour vos réponses

 

J'ai aussi un rapport ZHPdiag si besoin

Modifié le 30 septembre 2011 par nyny34

[tomtom95]

Bonsoir nyny34

 

Pourquoi avoir voulu supprimer (c:\windows\system32\srvany.exe ) ?

 

Oui post une analyse de ZHPDiag avec cette procédure stp

 

Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau

 

• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  Clique sur le Tournevis a droit en haut
  
   
  Coche toutes les cases .
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse
  clique sur les touches CTRL+V pour coller ce rapport.
  
• Si tu rencontres un message d'erreur
  cela signifie que le rapport est trop long. Il faut donc l'éditer en plusieurs parties en veillant bien à ne rien oublier
   
  
• héberger le fichier contenant ce rapport ici
  http://cjoint.com/
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

 

A+

[nyny34]

bonsoir tomtom95

 

Je l'ai supprimé car il était signalé comme malware

 

je met le rapport du jour ou j'ai fait la suppression

 

http://forum.zebulon.fr/rapport-hijackthis-suite-a-nettoyage-infection-t188245.html

 

merci

 

desolé j'ai raté la manip

 

Lien CJoint.com AIEvOJtM8Nz

Modifié le 30 septembre 2011 par nyny34

[tomtom95]

L'outil ZHPDiag que tu utilise est une ancienne version

Et ce rapport n'est pas complet

Supprimer ZHPDiag présent sur ton pc dans ajout/suppr, puis applique la procédure que j'ai donné.

 

A+

[nyny34]

ok

[nyny34]

Voilou

 

Lien CJoint.com AIEwlyGFOZ8

[tomtom95]

OKI je regarde

[tomtom95]

Bonsoir nyny34

 

Attention avec les cracks ,et les téléchargement P2P source d'infection

eMule

uTorrent

BitTorrent

LimeWire

Shareaza

 

 

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
  
• Double-clique sur ZHPFix
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  [HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
  [MD5.00000000000000000000000000000000] [APT] [RealUpgradeLogonTaskS-1-5-21-484763869-562591055-1417001333-1003] (...) -- C:\Program Files\Real\RealUpgrade\realupgrade.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [RealUpgradeScheduledTaskS-1-5-21-484763869-562591055-1417001333-1003] (...) -- C:\Program Files\Real\RealUpgrade\realupgrade.exe (.not file.)
  O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216013F0}
  O43 - CFD: 10/06/2011 - 14:51:34 - [1893680] ----D- C:\Program Files\LiveUpdate
  O51 - MPSK:{c5538bd5-9361-11e0-ab9d-8f76a10b7ede}\AutoRun\command. (...) -- H:\hwpcassistant.exe (.not file.)
  O51 - MPSK:{c5538bda-9361-11e0-ab9d-8f76a10b7ede}\AutoRun\command. (...) -- H:\hwpcassistant.exe (.not file.)
   
   
  FirewallRAZ
  EmptyTemp
  EmptyFlash
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

• Télécharge

Temp File Cleaner (TFC) de Old Timer :
 
Enregistre-le sur le Bureau
Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement)
Double-clique sur TFC.exe Clique sur Start
Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes)
Si l'outil demande à redémarrer :
Clique sur Yes
Si l'outil ne propose pas le redémarrage
redémarrer manuellement.
Dans la barre de TFC il va y avoir un chiffre noté en rouge
indique le moi.

 

A+

[nyny34]

re

 

je te met le rapport

 

Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011

Fichier d'export Registre :

Run by tania at 30/09/2011 23:16:33

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

SUPPRIME O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216013F0}

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216013F0}]

SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}

SUPPRIME CLSID MPSK: {c5538bd5-9361-11e0-ab9d-8f76a10b7ede}

SUPPRIME CLSID MPSK: {c5538bda-9361-11e0-ab9d-8f76a10b7ede}

 

========== Valeur(s) du Registre ==========

ABSENT Value Key: wscsvc

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\LiveUpdate

 

========== Tache planifiée ==========

SUPPRIME Task: RealUpgradeLogonTaskS-1-5-21-484763869-562591055-1417001333-1003

SUPPRIME Task: RealUpgradeScheduledTaskS-1-5-21-484763869-562591055-1417001333-1003

 

 

========== Récapitulatif ==========

4 : Clé(s) du Registre

1 : Valeur(s) du Registre

1 : Dossier(s)

1 : Logiciel(s)

2 : Tache planifiée

 

 

End of clean in 00mn 14s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 30/09/2011 23:16:33 [1348]

 

par contre pour TFC je ne sais pas ou est le rapport je le trouve pas

[tomtom95]

Par de rapport pour TFC

 

A priori plus rien d'infectieux

 

Télecharge sur le site DelFix (de Xplode) sur ton Bureau

 

• Choisis l'option "Recherche"
  
• Valide sur Entrée
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu
   
  Relance Delfix
   
  
• Choisis l'option "Suppression"
  
• Valide sur Entrée
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu

 

Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

• IMPORTANT Tu va supprimer tes anciens points de sauvegarde du pc :
   
  il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
  
• Clique sur le bouton Démarrer faîtes un clique droit sur "poste de travail"
  
• puis clique sur "Propriétés" :
  
• Clique ensuite sur "Onglet Restauration systéme" :
  
• coche la case désactiver la restauration du système :
  
• Clique sur appliquer
   
  
• Pour réactiver la restauration système
  il suffit de décocher à nouveau la cases,un nouveau point sain sera créer

 

 

Si tu utilise encore OpenOffice.org 3.1

Mettre a jour OpenOffice.org 3.3

http://fr.openoffice.org/

 

Pour améliorer la sécurité de votre PC prend quelques instants pour lire

 

Les risques du peer-to-peer Merci ogun

 

Pourquoi éviter le P2P ? Point législatif & dangers. Merci Gof

 

Les toolbars c'est pas obligatoire! Merci Malekal_morte

 

Post les rapports DelFix stp.

Si tu n'as pas de questions,Marque ton sujet comme résolu

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

A+

Modifié le 30 septembre 2011 par tomtom95