Rapport HJT d'alexou59

[ipl_001]

Ce message a été posté par alexou59 aujourd'hui dimanche 10 jullet à 19h42 (Message #116) dans la discussion "Nettoyage d'un PC infecté" ( http://forum.zebulon.fr/index.php?showtopic=69176 )

 

-----

 

Bonsoir,

 

Suite au problème de msdirectx, j'ai suivi vos instructions et voici mon log hisjackthis pour analyse merci pour la réponse.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:02:14, on 10/07/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\program files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\program files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[megataupe]

Ben IPL, je ne vois rien d'infectieux sur ce log et surtout pas de trace de ce très méchant msdirectx. Antivir doit être passé par là ? De plus, quels sont les problèmes de alexou59 .

[ipl_001]

Hello megataupe,

 

Je n'ai fait que recopier ce post qui était dans "Nettoyage d'un PC infecté" !

alexou59 a lancé la procédure de pré-nettoyage...

 

Regarde la ligne F2 : est-ce qu'elle te plaît ?

Non !!! xpjava.exe est infectieux ! pouah !

...

et O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

et O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

 

et d'autres !

 

...

 

Mais charles ingals est en train de poster !

[Thanos]

salut méga,ipl

 

et ca qu'en pensez vous?=>

 

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe=> Added by the W32/Rbot-YC

 

network worm/backdoor

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

 

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe=>inconnu!!

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

=>blazefindWinupdatesAdware

 

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

=>netvenda dialer

 

edit:je suis encore un peu lent du poignet on dirait ipl

 

les 2 derniers figurent dans la base de spywareblaster.

Modifié le 10 juillet 2005 par charles ingals

[ipl_001]

Okay ! Bien vu charles ingals !

 

Regarde aussi

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

 

Bien sûr, vous ferez remarquer l'ancienneté et les faiblesses du système :

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Veux-tu bien mettre ta réponse en forme pour qu'alexou59 puisse nettoyer son système ?

 

Pour ce qui est des lignes O16, sache qu'elles peuvent être fixées sans problème (et d'autres lignes du rapport aussi) !

sans aucun problème parcequ'elles correspondent à des éléments déjà installés et si le système en a besoin, il les retéléchargera !

Pour ce qui est des lignes O16, disais-je, je choisis de fixer tout ce qui n'est pas en provenance d'un site de sécurité !

En particulier, il faut enlever les 'dialers', les jeux, les trucs pornos, etc.

 

Sur PC Astuces, grigggione, un membre expert, enlève systématiquement les O16 !

[megataupe]

Bien Charles . Pour ce qui est de ma remarque, je précise que je faisais référence à ce sinistre msdirectx qui bizarrement n'est pas sur le log et il est vrai aussi que je n'ai pas fait de recherches sur http://www.bleepingcomputer.com/startups/ pour vérifier les autres cochoncetés = 2 points en moins pour megataupe .

[ipl_001]

msdirectx... il ne faut se fier qu'en partie à ce que dit l'internaute infecté !

 

Ce n'est pas lui l'expert, c'est toi !

[Thanos]

effectivement je l'avais pas vue celle là=>O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

HijackThis -> Open the misc tools section -> Open Process Manager

 

il faut sélectionner:C:\Program Files\Media Gateway\MediaGateway.exe et clic sur

 

killprocess,avant de la fixer.

 

donc on peut fixer les lignes suivantes:

 

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

 

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

 

 

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

 

mais aussi celles ci qui ne sont pas utiles:

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

 

par contre,celui ci me pose problème,je ne sais pas si il est légitime où s'il s'agit

 

du vers"Agobot-Nl Worm"?=>

 

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

Bien Charles

merki méga

 

scusez la lenteur je fais plusieurs trucs à la fois!

Modifié le 10 juillet 2005 par charles ingals

[ipl_001]

Charles ingals,

 

Cette ligne est légitime :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

 

 

 

S'il te plaît, veux-tu bien mettre ta réponse en forme pour que tout novice puisse appliquer tes directives ?

 

 

 

Quelque chose comme :

Rebonsoir , rebonsoir à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

...

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

...

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[Thanos]

j'aimerai beaucoup ipl, mais je ne sais pas vraiment quels outils lui conseiller pour se

 

débarrasser de ces saletés!! Je viens de lire ton post donc voilà:

 

 

alexou59,stp ,imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Redémarre l'ordinateur en mode sans échec.

 

tu vas sur:

 

HijackThis -> Open the misc tools section -> Open Process Manager

 

tu sélectionnes: C:\Program Files\Media Gateway\MediaGateway.exe et clic sur

 

killprocess

 

Clique sur Back puis Scan... et coche ces lignes :

 

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitenpn32.exe

 

O4 - HKLM\..\Run: [5f5icdhu] C:\WINDOWS\System32\5f5icdhu.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

 

 

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/default.cab?uid=9&id=5...=3&start=050630

 

Fais Fix Checked.

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore):

 

C:\windows\system32\elitenpn32.exe

 

C:\WINDOWS\System32\5f5icdhu.exe

 

C:\Program Files\Media Gateway\MediaGateway.exe

 

- Assures-toi que tu as accès aux fichiers cachés.

- Explorateur windows->outils->options des dossiers->affichage

"Afficher les fichiers cachés"->coché

"Masquer les extensions.."->décoché

"Masquer les fichiers protégers du système"->décoché

 

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

ipl se tire t'il les cheveux?

Modifié le 10 juillet 2005 par charles ingals