Rapport HijackThis + AntiVir®/XP

[WatchDog]

Bonjour,

 

Suite à vos conseils, je vous joint ci-dessous les 2 analyses du PC infecté avec des fenetres genre"Pop Up" que ni Spybot, ni AdAware n'ont réussis à supprimer.

 

Merci d'y "jeter un coup d'oeil" !

 

J'attend vos conseils avec impatience !

 

 

Cordiallement.

 

Watchdog.

 

P.S. :Cette daube n'est pas mon PC (heureusement) !!!! Ouf !!!!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:29:07, on 04/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105554632213

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

Creation date of the report file: jeudi 4 août 2005 15:23

 

AntiVir®/XP (2000 + NT) PersonalEdition Classic

Build 1047 vom 07.06.2005

Mainprogram 6.31.00.03 of 10.05.2005

VDF file 6.31.1.55 (0) of 03.08.2005

 

 

 

Platform: Windows NT Workstation

Windows version: 5.1 Build 2600 ()

Username: edith

Processor: Pentium

Working memory: 391664 KB free

 

Version information:

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVEWIN32.DLL : 6.31.1.0 823808 19.07.2005 17:54:12

AVGNT.EXE : 6.31.00.01 168039 10.05.2005 16:50:16

AVGUARD.EXE : 6.31.00.01 238120 29.04.2005 08:07:12

GUARDMSG.DLL : 6.30.00.02 94248 01.02.2005 11:24:10

AVGCMSG.DLL : 6.31.00.00 295029 29.04.2005 08:07:16

AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:07:16

AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02

AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:20

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:22

AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:24:10

AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:24:10

AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:48

AVRep.DLL : 6.31.01.52 1265704 03.08.2005 17:28:14

INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:07:14

INETUPD.DLL : 6.31.00.02 143360 29.04.2005 08:07:14

CTL3D32.DLL : 2.31.000 27136 28.08.2001 10:00:00

MFC42.DLL : 6.00.8665.0 995383 28.08.2001 10:00:00

MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148

MSVCRT.DLL : 7.0.2600.0 (xp 322560 28.08.2001 10:00:00

CTL3DV2.DLL : 2.31.001 27632 27.01.1999 16:22:08

 

Configuration file:

 

Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI

Name of report file: C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG

Start path: C:\Program Files\AVPersonal

 

Priority: high

 

Drives:

A: Floppy drive

C: Hard disk

D: CD-ROM

 

Start of scan: jeudi 4 août 2005 15:23

 

Memory test OK

Master boot record of hard disk HD0 OK

Boot record of drive C: OK

 

 

C:\System Volume Information\_restore{597DE62C-0C7F-43BF-98E1-A1C74AED566F}\RP10

A0003640.exe

[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Agent.AY Backdoor server programs

WAS DELETED!

A0003641.exe

[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Agent.AY Backdoor server programs

WAS DELETED!

 

 

 

End of scan: jeudi 4 août 2005 16:24

Time taken: 61:01 min

 

 

4040 directories were scanned

69220 files were scanned

15 warning messages were issued

2 files were deleted

0 files were repaired

2 detections

[Thanos]

tiens watchdog , quelle surprise

 

je jette un oeil à ton log.

[Thanos]

je vois rien d'infectieux dans le log , mais quelques daubes à virer!

 

Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backupsbefore fixing items est activée et coche les lignes suivantes :

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

 

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

 

O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart

 

O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105554632213

 

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

 

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

 

=>Exécute EasyCleaner Inutiles et Registre seulement. Ne touche pas à la

 

fonction doublon

 

redémarre et poste un nouveau log hijack.

[Thanos]

houlaaaa

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

c'est quoi ca?kamikaze

 

Pack SP1

http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html

ou mieux, Pack SP2

http://www.microsoft.com/france/windows/xp/sp2/default.mspx

 

à installer d'urgence sinon c'est journées portes ouvertes

[Invité tesgaz]

c'est quoi ca?kamikaze icon_lol.gif

 

lol, non, version piratekaze

[WatchDog]

tiens watchdog , quelle surprise

 

je jette un oeil à ton log.

547741[/snapback]

 

+

 

LOL

[WatchDog]

c'est quoi ca?kamikaze

 

Quand je te dis que se sont des boeufs maintenant tu me crois !

 

je vois rien d'infectieux dans le log , mais quelques daubes à virer!

 

Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Bien, Maître blanc ?

 

à installer d'urgence sinon c'est journées portes ouvertes

 

Et pourquoi tu crois que j'ai amené le CD SP2 de Bill, hien ?

 

lol, non, version piratekaze

 

Meuuuuuh non, tu te fais des idées

 

Allé je vous tiens au jus

 

 

Watchdog

[Thanos]

re watchdog

 

concernant ton analyse par Antivir=>

C:\System Volume Information\_restore{597DE62C-0C7F-43BF-98E1-A1C74AED566F}\RP10

A0003640.exe

[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Agent.AY Backdoor server programs

WAS DELETED!

A0003641.exe

[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/Agent.AY Backdoor server programs

WAS DELETED!

 

ca signifie que les points de restauration(dites moi si je me trompe ) on été infectés

 

pour plus de sécurité , une fois le pc nettoyé , il serait préférable de désactiver

 

la Restauration Système puis la réactiver(ca va faire plaisir à ipl!), pour recréer un point de restauration propre.

lol, non, version piratekaze

[WatchDog]

re watchdog

(ca va faire plaisir à ipl!), pour recréer un point de restauration propre.

547873[/snapback]

Dis donc ça demande un surplus d'explication, ton message codé

 

 

Watchdog

[ipl_001]

Bonsoir charles ingals,

 

la Restauration Système puis la réactiver(ca va faire plaisir à ipl!), pour recréer un point de restauration propre.

Tout juste charles ingals !

 

la réactiver, non pas pour créer... mais ce qui créera un point de restauration (un Point de restauration automatique lorsqu'on réactive).