Analyse Hijackthis svp

[boubilou]

Bonjour tout le monde, je poste suite a un probleme recalcitrant de pop-up avec le message suivant :

 

"WARNING: Windows Firewall detected suspicious network activity on your computer. Malicious software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords. Do you want to download certificated software and protect your computer?"

 

Je pensais ce probleme definitivement mort et enterré, mais apres avoir ralumé mon ordi ce matin, il est réaparu !

 

Voici mon log, j'ai fait recherche antivirus kaspersky, ad-aware, a² , spybot, ewido...un clean de la base de registre, bref, rien ne semble vouloir eradiquer definitevement le malware !

Une petite aide svp !

 

Logfile of HijackThis v1.99.1

Scan saved at 16:36:45, on 27/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DeltTray.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

 

 

 

Sinon autre petit probleme troublant :

Je recois tout mes mails en double avec outlook, et j'ai souvent du mal a vider le dossiers "mails supprimés" !

 

Merci

[BipBip07]

Salut,

rien de troublant dasn ton rapport ! a moins que je rate quelque chose

sinon fait ceci:

menu demarrer ;executer

taper "services.msc"

chercher "affichage des messages

arreter le service (sur la gauche)

double clic sur affichage des messages

mettre "type de démarrage sur "désactiver"

 

Redémarrer puis reviens nous dire ce qu'il en est.

Si le probleme persiste mets un nouveau rapport HJT ainsi qu'une "image de la copie d'ecran u message d'avertissement" et faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

A+

 

NB: as tu un firewall ?

Modifié le 27 juillet 2005 par BipBip07

[Thanos]

salut boubilou,BipBip

 

Une question concernant cette ligne=>

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

 

Est ce que c'est toi qui a mis cette restriction (par spybot)?

[ipl_001]

Bonsoir boubilou, BipBip, charles ingals, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Moi, par contre, j'ai tout un tas de remarques (petites remarques)/questions (petites questions) !

 

O1 - Hosts: localhost 127.0.0.1

Pourquoi est-ce à l'envers ? la normale est 127.0.0.1 localhost !

Quelqu'un s'est gouré en voulant re-créer le fichier à la main !

 

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

Pourquoi ce programme est-il lancé 2 fois ? est-ce pour qu'il aille 2 fois plus vite ?

 

O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ad-Watch ET TeaTimer ???

As-tu bien Ad-Aware version 6 ???

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Restrictions ??? Control Panel ???

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

Supprime moi çà et remplace par la JVM de Sun MicroSystems !

 

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

As-tu bien la version full d'Ewido ?

[boubilou]

Salut,

rien de troublant dasn ton rapport !   a moins que je rate quelque chose

sinon fait ceci:

menu demarrer ;executer

taper "services.msc"

chercher "affichage des messages

arreter le service (sur la gauche)

double clic sur affichage des messages

mettre "type de démarrage sur "désactiver"

 

Redémarrer puis reviens nous dire ce qu'il en est.

Si le probleme persiste mets un nouveau rapport HJT ainsi qu'une "image de la copie d'ecran u message d'avertissement" et faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

A+

 

NB: as tu un firewall ?

542404[/snapback]

 

Salut, je n'arrive pas a uploader des images, mais pour te decrire c'est une fenetre type avertissement windows, ou erreur windows, avec une croix rouge sur fond rouge dans le coin haut gauche , et qui fait a peu pres 1/10eme de l'ecran !

Sinon pour ce que tu m'as conseillé de faire, et bien je n'ai eu aucun rapport de virus, donc le probleme persiste toujours !

Sinon, oui j'ai le firewall de windows installé, avec evidemment toutes les mises a jours du SP2 pour XP.

Modifié le 27 juillet 2005 par boubilou

[boubilou]

Bonsoir boubilou, BipBip, charles ingals, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Moi, par contre, j'ai tout un tas de remarques (petites remarques)/questions (petites questions) !

 

O1 - Hosts: localhost 127.0.0.1

Pourquoi est-ce à l'envers ? la normale est 127.0.0.1 localhost !

 

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

Pourquoi ce programme est-il lancé 2 fois ? est-ce pour qu'il aille 2 fois plus vite ?

 

O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ad-Watch ET TeaTimer ???

As-tu bien Ad-Aware version 6 ???

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Restrictions ??? Control Panel ???

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

Supprime moi çà et remplace par la JVM de Sun MicroSystems !

 

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

As-tu bien la version full d'Ewido ?

542491[/snapback]

 

 

Salut, alors pour essayer de repondre a ce que tu as noté et qui d'ailleurs me rend aussi curieux que toi.........

 

 

O1 - Hosts: localhost 127.0.0.1

Pourquoi est-ce à l'envers ? la normale est 127.0.0.1 localhosts !

-----Je n'en ai aucune idée

 

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

Pourquoi ce programme est-il lancé 2 fois ? est-ce pour qu'il aille 2 fois plus vite ?

-----Non, il s'agit de ma carte son, j'ai un petit icone dans la barre des taches en bas a droite, par contre dans le gestionnaire de taches, il n'apaprait qu'une seule fois !

 

O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ad-Watch ET TeaTimer ???

As-tu bien Ad-Aware version 6 ???

-----Oui j'ai bien la version 6.0

 

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

Supprime moi çà et remplace par la JVM de Sun MicroSystems !

-----OK, j'vais le faire a la fin de ce post !

 

 

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

As-tu bien la version full d'Ewido ?

-----non j'ai une version demo !

 

 

 

Par contre je comprend pas ce que c'est ca :o6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Restrictions ??? Control Panel ???

-----En meme temps, depuis aujourd'hui je n'ai plus les droits administrateur pour configurer les options internet explorer, me dit windows......?

[Thanos]

re boubillou

 

concernant cette ligne=>O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

 

je voulais savoir si c'est toi qui a vérouillé le changement de la page d'accueil d'IE

 

par le logiciel Spybot(dans les options), car c'est le cas..

[BipBip07]

Bon pour la ligne 01,

 

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

O1 - Hosts: localhost 127.0.0.1

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer

 

Ensuite regarde dans spybot si tu as coché les 2 cases de la 3eme images "etat de protection resident":

voir ici: http://assiste.free.fr/p/internet_utilitai...troy.php#ssd_10

 

si oui ceci explique les 2 lignes 06 et le fait que:

-----En meme temps, depuis aujourd'hui je n'ai plus les droits administrateur pour configurer les options internet explorer, me dit windows......?

si tu souhaite y avoir de nouveau acces déciches les le temps de modifier a ton souhais.

 

Et si tu n’as pas installé la console virtuelle Java fait le aussi :

Site officiel a visiter et télécharger la console sur Free Donwload

ou

Téléchargement direct de la console Java

 

A suivre...

Modifié le 27 juillet 2005 par BipBip07

[boubilou]

re boubillou

 

concernant cette ligne=>O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

 

je voulais savoir si c'est toi qui a vérouillé le changement de la page d'accueil d'IE

 

par le logiciel Spybot(dans les options), car c'est le cas..

542559[/snapback]

 

Oui c'est bien moi qui ai verouillé la page

[ipl_001]

Rebonsoir à tous,

 

Mes commentaires en bleu :

 

Salut, alors pour essayer de repondre a ce que tu as noté et qui d'ailleurs me rend aussi curieux que toi.........

O1 - Hosts: localhost 127.0.0.1

Pourquoi est-ce à l'envers ? la normale est 127.0.0.1 localhosts !

-----Je n'en ai aucune idée

Je ne vois pas un pirate faire çà !

Fixe cette ligne dans HJT

 

O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

Pourquoi ce programme est-il lancé 2 fois ? est-ce pour qu'il aille 2 fois plus vite ?

-----Non, il s'agit de ma carte son, j'ai un petit icone dans la barre des taches en bas a droite, par contre dans le gestionnaire de taches, il n'apaprait qu'une seule fois !

C'est normal que ce programme ne soit qu'un fois dans le gestionnaire des tâches !

Fixe une ligne dans HJT

 

O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ad-Watch ET TeaTimer ???

As-tu bien Ad-Aware version 6 ???

-----Oui j'ai bien la version 6.0

Si tu as Ad-watch, TeaTimer est inutileet je dirais même néfaste

Enlève TeaTimer dans SpyBot

Est-ce que la v6 d'Ad-Awre est encore mise à jour ??? j'en doute !!!

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

Supprime moi çà et remplace par la JVM de Sun MicroSystems !

-----OK, j'vais le faire a la fin de ce post !

Okay!

 

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

As-tu bien la version full d'Ewido ?

-----non j'ai une version demo !

Est-ce que tu t'en sers ? Il n'est plus à jour depuis combien de temps ?

 

Par contre je comprend pas ce que c'est ca :o6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Restrictions ??? Control Panel ???

-----En meme temps, depuis aujourd'hui je n'ai plus les droits administrateur pour configurer les options internet explorer, me dit windows......?

Fixe ces lignes dans HJT

542554[/snapback]