[résolu]Virus spybot et log Hijack

[didier92]

Re Re Stonangel ,

J'ai fait ce que tu m'as dit. Je progresse .... Je te joins un nouveau log .

Merci pour tout

Didier Logfile of HijackThis v1.99.1

Scan saved at 18:30:46, on 19/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\Program Files\Intel\Modem Event Monitor\IntelMEM.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program files\valve\steam\steam.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Wireless\Client Manager\CMAGS.EXE

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Documents and Settings\Camille\Mes documents\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Messenger\msmsgs.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/hautdebit

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [intelMeM] C:\Program Files\Intel\Modem Event Monitor\IntelMEM.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [steam] "c:\program files\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Wireless Client Manager.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[Invité Stonangel]

Bonsoir didier92, bonsoir à tous. Ton rapport me paraît propre. Comment fonctionne l'ordinateur, qu'en est-il de tes problèmes initiaux?

[didier92]

[Re bonsoir Stonangel ,

J'ai rescanné avec Norton , mais je retrouve toujours ce maudit spybot toujours à la même place c'est dingue ce truc . Il le retrouve sur msn.exe dans le même fichier : document and setting/camille/local setting /temp int files/contentIE5 /M5CD29Mz:crazy jump(1).scr.(msn.exe)

Mais l'ordi fonctionne super. Si tu as d'autres idées n'hésites pas.

Merci Didier

[Invité Stonangel]

Rebonsoir didier92, rebonsoir à tous. Je suis surpris de voir que le virus reste scotché dans un répertoire temporaire en dépit des différentes opérations de nettoyage. Quelques idées:

 

1 Note le chemin exact du fichier infecté et essaie de le supprimer en mode sans échec.

 

2 Essaie de renommer le fichier: crazyjump.scr> crazyjump-scr.anc

 

3 Fais un scan en ligne sur Ravantivirus et fais un copier coller du rapport dans le forum:

 

http://www.ravantivirus.com/scan/

 

To continue without suscribing > Attendre la mise à jour> Autoclean > Scan my pc

Modifié le 19 avril 2005 par Stonangel

[ipl_001]

Bonsoir didier92, stonangel, megataupe, bonsoir à tous,

 

Je confirme que l'analyse de stonangel a été judicieuse et que le rapport HijackThis est propre !

 

Il ne faut pas confondre le rapport HijackThis et la présence de fichiers infectés !

 

Comme je le dis dans "qu'est-ce qu'une infection ?" de "Formation à l'analyse de rapports HijackThis" ( http://www.zebulon.fr/articles/analyse-rap...jack-this-2.php ), s'il y a des fichiers signalés par NAV comme étant infectés mais si'il n'y a pas activation... le système n'est pas infecté !

 

 

 

HijackThis liste les points névralgiques du système c'est à dire les endroits de la base de registres où peuvent être activés les éléments infectieux !

Un antivirus scanne les fichiers du disque dur !

 

Il faut bien sûr avoir tout bien propre, base de registres et disque !

 

Démarrer / Panneau de configuration / Options Internet / onglet Général / clique sur le bouton Supprimer les cookies et OK / clique sur le bouton Supprimer les fichiers, coche Supprimer tout le contenu hors connextion et OK

Vide la corbeille

Lance un bon scan (RAVantivirus en ligne)

[didier92]

RE RE RE RE Bonsoir à tous ,

Je viens de finir un nouveau scan avec ravantivirus . C'est super il n'y a plus rien ,OUF OUf OUf Encore merci cent mille fois pour votre aide et toutes vos explications, on se croirait presque devenir un as en informatique en vous suivant . Je joins pour Stonangel le résultat du scan .Scanned

============================

Objects: 85008

Directories: 3902

Archives: 2595

Size(Kb): -8843

Infected files: 0

 

Found

============================

Viruses found: 0

Suspicious files: 0

Disinfected files: 0

Mail files: 54

 

Bonne nuit à tous Merci encore A bientôt peut-être pour de nouvelles aventures

Didier et son fils Camille

[ipl_001]

Félicitations à stonangel ! Un plaisir de voir la maîtrise... Ta présence est précieuse, stonangel ! Merci de nous aider sur Zebulon-Sécurité !

[Invité Stonangel]

Félicitations à stonangel ! Un plaisir de voir la maîtrise... Ta présence est précieuse, stonangel !  Merci de nous aider sur Zebulon-Sécurité !

490361[/snapback]

 

Avec plaisir et la satisfaction de voir le pc de Camille enfin nettoyé.

Modifié le 19 avril 2005 par Stonangel