Rapport HijackThis

Lag64 · le 27 août 2005

Bonjour, cela fait un moment que je connais ce forum (excellent d'ailleur ) mais je ne me suis jamais encore lancé dans ce type de procédure merci d'avance pour les conseils ou confirmations qu'on pourra me prodiguer:

Sous XP pro, firefox depuis peu (ce qui expliques les traces de pneu :-P ).

quelques updates de sécurité mais pas de SP1 ou 2 , j'ai une version officielle (dument payée) mais ça me bloque certains programmes (video surtout) et par principe j'aime pas LEURS principe et leur mauvaise foi ... (mais bon c'est un autre débat).

J'ai suivi la procédure décrite dans le post it (démarrage en mode sans echec antivir etc..) , voici le rapport HijackThis résultant:

Logfile of HijackThis v1.99.1

Scan saved at 21:54:59, on 27/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [iW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Matrox PowerDesk 8] "C:\Program Files\Matrox Graphics Inc\PowerDesk HF\matrox.powerdesk.exe" /silent

O4 - HKLM\..\Run: [RMremote] C:\Program Files\REALmagic\REALmagic Xcard\RmRemote.exe

O4 - HKLM\..\RunServices: [schedulingAgent] C:\WINDOWS\System32\mstask.exe

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Lag\LOCALS~1\Temp\delus.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: e-Backup 1.4 Scheduler.lnk = ?

O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - User Startup: e-Backup 1.4 Scheduler.lnk = ?

O4 - User Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)

O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -

O23 - Service: +iAWJ3pd+7w1RFmCd2 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: anp0T1PrcoJ10XYeG1JmZww3TWZ0d0qF9OB1M6hA20 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: It3vT3DUyg62UMFwK2 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: Miubr2+caJn0snTYQ0 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: Qc6PH0onNWw2xVu7d1vfaPB0COtA21y2DQg2 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: RST4M23Mwp43a+R212mZxD03 - Kaspersky Labs. - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe

O23 - Service: SSC Monitor (SSCMntr) - SuperSpeed Software, Inc. - C:\WINDOWS\System32\SSCMntr.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Personnellement je pense fixer:

O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)

d'abord parce je n'utilise plus IE , que popup manager est desinstallé et qu'en plus il contenait un spyware (je ne sais plus son nom exact) trouvé par A² et qui en plus c'etait disseminé dans une dizaine d'endroits sur mes differents HDD.

J'ai redownloadé l'installeur du prog sur l'homepage et il le contient d'entré donc je pense qu'il venait de là. (dommage car le prog était vraiment pratique et gratuit en plus).

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

vu qu'il y a no file ça ne doit plus servir donc a supprimer ?

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

là j'hesite un peu plus car je ne sais pas a quoi ça correspond .. a moins que ce ne soit la toolband.class bar présente sur IE qui ne semble pas fonctionner mais que je n'ait pas installé (une resto systeme m'en avait debarrassé mais c'est revenu 2 ou 3 jours plus tard avec en prime tous les réglages des pages etc.. changés ... c'est la goutte d'eau qui m'a balancé du coté eclatant de la force (Firefox bien sur :-( ).

Quelques petits programmes a desinstaller (adslautoconnect par exemple .. modem routeur donc plus d'utilité) , remplacer kaspersky par antivir peut etre (antivir a trouvé 4 trojan sur C: et 4 autres dans des zip pourtant ancien 1 a 4 ans pour l'un d'entre eux ...).

En plus ma licence de kaspersky est perimée .. bien qu'il me laisse toujours downloader les mise a jours malgré un message m'indiquant le contraire ... ça c'est un mystère si quelqu'un a une idée (bien que je ne m'en plaigne pas).

nb: il s'agit d'une version tout a fait officielle pour ceux qui emettrait cette hypothèse pour son fonctionnement malgré la fin de la licence.

Bon voilà pour ce que je compte faire mais tout autres conseils sera le bienvenu merci d'avance

ipl_001 · le 27 août 2005

Bonsoir Lag64, bonsoir à tous,

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

ipl_001 · le 27 août 2005

Rebonsoir Lag64, rebonsoir à tous,

S'agit-il d'un rapport HijackThis en mode sans échec ?

C:\WINDOWS\System32\devldr32.exe

comment se fait-il que ce processus soit en mémoire ?

C'est un malware !

Field Value
Name Divx4 codec

Command devldr32.exe

Status X

Description Added by an unidentfied VIRUS! Note - this is not the legitimate Creative Labs devldr32.exe file

( http://www.liutilities.com/products/wintas...slibrary/lsass/ )

Mais qu'est-ce que ces services de Kaspersky ?

- It3vT3DUyg62UMFwK2

- Miubr2+caJn0snTYQ0

- Qc6PH0onNWw2xVu7d1vfaPB0COtA21y2DQg2

- RST4M23Mwp43a+R212mZxD03

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

Redémarre l'ordinateur en mode sans échec.

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

--- GetRight (malware)

GetRight from Headlight Software - download manager for resuming downloads and choosing multiple download locations. The freeware version is/was spyware. The registered version isn't if you don't install the Aureate/Radiate software. Available via Start -> Programs

( http://castlecops.com/s1321-GETRIGHT_EXE.html )

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Lag\LOCALS~1\Temp\delus.exe

O4 - User Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

- vide les fichiers temporaires et en particulier ce C:\DOCUME~1\Lag\LOCALS~1\Temp\delus.exe !

- Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows :

--- C:\WINDOWS\System32\devldr32.exe

--- C:\Program Files\GetRight (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Qu'en est-il de dysfonctionnements éventuels ?

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

le 28 août 2005

- vide les fichiers temporaires et en particulier ce C:\DOCUME~1\Lag\LOCALS~1\Temp\delus.exe !

salut à tous,

petite précision à propos de ce fichier

il est généré par la désinstallation d'antivir (donc pas nocif), il sert à retrouver les parametre de configuration quand on met à jour antivir

mais cela n'empéche pas de le supprimer quand même

Lag64 · le 28 août 2005

ouch quelle rapidité !

C'est bien un rapport fait en mode sans échec (j'ai suivi ce qui était mis en post-it dans cette même section).

Pour le devldr32 ça m'avait étonné aussi mais apparement ça a bien a voir avec la soundblaster :

Creative Ring3 NT Interface!! Runs solely on Windows 2000/XP. Just when you thought you’d got rid of DEVLDR16, along comes your SoundBlaster Live! soundcard’s DEVLDR32 which is just as problematic ! As one website puts it "Rumours that Creative's driver team is composed entirely of gorillas enthusiastically beating on their keyboards with their feet have not been confirmed !". Although we do not know yet what purpose DEVLDR32 serves, it seems to be crucial to the audio input, the Creative Mixer, the PlayCenter, and the AudioHQ application. Most of the problems with DEVLDR32 are created by the installation of the Creative Liveware 3.0 software, as the DEVLDR32 loaded by that software creates endless conflicts.

Recommendation :

The list of problems is so long we will concentrate here on the major ones. If you have a shutdown problem, with DEVLDR32 hanging, try disabling the "Shutdown sound". If sound is at Max level every time you boot up, even though you adjusted it down, try the liveserviec.com fix (search the web for it). If you have some programs which do not work properly unless DEVLDR32 is killed off through an End Task, try de-installing Liveware, and then downloading and installing the latest version. Also try that remedy if you experience blue screens, or other severe problems. If that still does not work, try de-installing the Liveware (or SBLive) software altogether. Good Luck !

Si j'ai bien compris la fonction est obscure et cause des problemes (pas le cas chez moi, je n'ai pas eu d'ecran bleu lié à ça).

Je vais essayer ce qu'il dise, c'est a dire utiliser le driver du cd de xp au lieu de celui de soundblaster (d'ailleur recuperer sur le net et plus ou moins officiel donc peut etre douteux), je perdrais la barre + evolué de la SB mais de toute facon je ne l'utilisais pas (juste les reglage de base contenu dans windows).

O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

J'ai déjà testé et tout semble bien fonctionner, une fois supprimé.

Pour getright , je vais desinstallé , je l'utilisais peu et maintenant plus du tout avec firefox.

Easycleaner, je l'ai deja installé .. mais pas utiliser d'ailleurs car il me proposais de supprimer des liens vers des programmes qui existaient pour de bon (un peu trop agressif a mon gout donc) mais je verrais en dernier recours.

Je vais suivre tout ça et je te tient au courant.

ps : pour kaspersky, je ne sais pas trop ça vient peut etre du fait qu'il y a eu une demo et 2 versions installées successivement (4xxx la derniere), ca fait bien 2 a 3 ans que je n'ai pas fait d'installation "neuve" (depuis la sortie d'xp en fait).

Lag64 · le 28 août 2005

Bon ça y est premier nettoyage effectué.

Pour le cas de devldr32.exe , j'ai remarqué que si l'on kill manuellement le process il revient en cliquant sur le "son et peripherique audio" de windows dans le panneau config...

, un driver plus recent ne change rien (je l'ai pris sur le site de soundblster cette fois) en fait c'est pire la carte fonctionne mal, son froid etc..probablement mal adapté a cette vielle carte => retour en arriere (merci drive image).

J'ai fait l'essai en supprimant le fichier lui même a priori la carte fonctionne mais plus d'acces a l'audio hq evolué de SB.

Seul hic également la sortie en CD digital bien que présente sur la gestion purement windows ne fonctionne plus , pas de bol j'ai justement branché en interne sur cette entrée le son d'une XCArd donc plus de son.

J'ai fini par recoller le fichier dans c:\windows\system32 et tout est revenu a la normale.

A part ça c'est le seul dysfonctionnement constaté a priori.

NB: je n'ai pas fixé cette ligne par contre:

O4 - User Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

Spampal est un logiciel de filtrage de spam (je suis resté encore sous outlook ma migration se fait progresssivement ) et je veux justement qu'il se lance au demarrage ... a moins que ce ne soit un log reconnu comme spyware mais j'en doute... en plus efficace 99.99% de filtrage (avec le filtre bayesian) et gratuit!

Mon nouveau rapport (en mode sans echec et redemarrage pour etre + sur):

Logfile of HijackThis v1.99.1

Scan saved at 19:39:34, on 28/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =