[Résolu] Analyse rapport suite infection ordinateur

[Thanos]

salut @ tous

 

Un petit rapport hijack pour les pros (Stonangel?Queruak? ):

 

J'ai un pote qui n'arrive plus à se connecter sur le net,on dirait un conflit entre

 

Sygate et le firewall sp2 Je suis en train de vérifier ca!

 

Voilà le rapport hijack,qui m'a l'air douteux!

 

Logfile of HijackThis v1.99.1

Scan saved at 00:59:20, on 12/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPC32.EXE

C:\DOCUME~1\pascal\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Documents and Settings\pascal\Bureau\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: eEye Digital Security File Monitor (EEYEFMON) - eEye Digital Security - C:\PROGRA~1\EEYEDI~1\COMPON~1\FILEMO~1\EEYEFMON.exe

O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

voilà pour l'instant , je vais tenter d'autres scans pour voir , le probleme étant

 

que je dois jongler entre pc pour pouvoir accéder au net avec la cle usb!

 

Merci pour vos réponses les zamis

 

Edit: vive la restauration j'ai reussi à y accéder et retablir

 

la connection internet.C'est déjà ca de fait!Reste plus qu'à se débarrasser des

 

bestiolles.@+

Modifié le 12 juin 2005 par charles ingals

[ipl_001]

Bonjour charles ingals, bonjour à tous,

 

Il n'y a rien d'infectieux dans ton rapport HijackThis !

N'exagérons pas les "pouvoirs" d'HijackThis ! Ce n'est pas lui qui te causera de conflit entre FW de Seagate et de Windows XP (je rappelle qu'il existe déjà sous SP1 mais qu'il n'est pas activé en standard)

 

Juste une bricole à enlever à l'occasion :

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

Quelques remarques :

C:\DOCUME~1\pascal\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

HijackThis ne doit pas être installé dans le dossier Temp sinon, tu risques de le supprimer et ses fichiers de backups aussi !

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

Ces lignes montrent que ce système a encore la Machine Virtuelle Java de Microsoft, il faut la remplacer par celle de Sun MicroSystems en allant sur http://www.java.com/

[Thanos]

salut ipl , salut tous

 

N'exagérons pas les "pouvoirs" d'HijackThis ! Ce n'est pas lui qui te causera de conflit entre FW de Seagate et de Windows XP

 

Je me suis mal fait comprendre , ipl , je ne dit pas que hijack a causé un problème,

 

(bien au contraire )mais que le parefeu windows est entré en conflit avec

 

Sygate(messages d'erreur disant que Sygate ne pouvait plus démarrer!).

 

HijackThis ne doit pas être installé dans le dossier Temp

 

J'avais oublié de lui préciser la chose quand je lui ai demandé de l'executer

 

Dis moi ,quand on voit apparaitre le centre de sécurité, sous xp pro , cela signifie t'il

 

que le pack sp2 est présent?parce que je ne le vois pas dans "ajout/suppression"de

 

progammes,mais il apparait lorsque je tape"winver".?

 

Je vais lui demander de fixer les lignes 09 & de télécharger le sun!

 

Est ce que le fait de fixer la ligne:O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

 

va virer la version du dd,ou faut il l'enlever manuellement?

 

En tout cas un grand merci pour ton assistance

 

@+

[ipl_001]

Bonsoir charles ingals, bonsoir à tous,

 

salut ipl , salut tous

 

N'exagérons pas les "pouvoirs" d'HijackThis ! Ce n'est pas lui qui te causera de conflit entre FW de Seagate et de Windows XP

 

Je me suis mal fait comprendre , ipl , je ne dit pas que hijack a causé un problème,

 

(bien au contraire )mais que le parefeu windows est entré en conflit avec

 

Sygate(messages d'erreur disant que Sygate ne pouvait plus démarrer!).

Je suis désolé ! C"est moi qui ai employé un mot malheureux ! En disant "Ce n'est pas lui qui te causera de conflit", je voulais dire "Ce n'est pas lui qui te parlera de conflit"

HijackThis ne doit pas être installé dans le dossier Temp

 

J'avais oublié de lui préciser la chose quand je lui ai demandé de l'executer

 

Dis moi ,quand on voit apparaitre le centre de sécurité, sous xp pro , cela signifie t'il

 

que le pack sp2 est présent?

A ma connaissance, le "Centre de Sécurité" dans le Panneau de Configuration est arrivé avec SP2 (le firewall était là mais pas activé en standard).

parce que je ne le vois pas dans "ajout/suppression"de

 

progammes,mais il apparait lorsque je tape"winver".?

Pour savoir quelle est la version de Windows, tu demandes les propriétés du Poste de travail...

Je vais lui demander de fixer les lignes 09 & de télécharger le sun!

 

Est ce que le fait de fixer la ligne:O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

 

va virer la version du dd,ou faut il l'enlever manuellement?

Non, HijackThis n'enlèves rien du disque et les lignes O9 ne sont que des indices de la présence !

Il te faut désinstaller à la main ou, en installant la JVM de Sun, il y aura remplacement !

En tout cas un grand merci pour ton assistance

 

@+

De rien !

[Thanos]

re

 

Monsieur Ipl , merci pour ta rapidité et ton efficacité tout fonctionne

 

correctement , je vais juste virer le sp2

 

@+ les zamis

[ipl_001]

Rebonsoir charles ingals,

 

Pourquoi virer le SP2 ?

Pourquoi pas seulement désactiver le FireWall de SP2 ? ce serait plus normal parce qu'un de ces 4, tu n'auras pas les dernières Hotfixes... d'ailleurs, si tu n'y prends pas garde, tu rates peut-être déjà des mises à jour !

[Thanos]

re ipl

 

Pourquoi pas seulement désactiver le FireWall de SP2 ?

 

Sur mon pc je n'ai pas le sp2 , mais je télécharge directement chez crosoft les

 

MAJ critiques.Cependant,tu as raison , si il n'y a pas de conflit logiciel,je ne

 

désactiverai que le firewall étant donné que mon pote n'est pas très au courant des

 

manips visant à sécuriser son pc!

 

Merki et @+