Log Hijack... please help !

[Comaï]

Bonjour à tous,

 

Mon PC est infecté par un Trojan (Windows XP).

A chaque lancement d'IE, voici le message qui s'affiche :

"Win32/StartPage.ARD !DLL !Trojan a été détecté dans C:\WINDOWS\SYSTEM32\SIZR.DLL".

Le message annonce que le fichier infecté est supprimé, mais le problème persiste à chaque lancement d'IE.

Le fichier SIZR.DLL est inexistant quand j'essaie de régler ça en "manuel".

IE s'ouvre bien sur ma homepage habituelle (Google), mais 1 pop-up apparaît tout de suite.

 

Ci dessous vous trouverez le log HiJack que je viens de faire en respectant la procédure indiquée dans ce forum (mode sans échec, etc...)

 

Je ne vois aucune ligne suspecte, mais n'étant pas du tout expert, je compte sur votre aide. Merci d'avance.

 

Voici le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:45:40, on 29/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {4CAAE67A-7A0C-9C0D-D734-A9B58ADA489C} - C:\WINDOWS\ntxw.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [showIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iprc.exe] C:\WINDOWS\system32\iprc.exe

O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\gcarreau\LOCALS~1\Temp\15.tmp" /m

O4 - HKLM\..\Run: [ieyh32.exe] C:\WINDOWS\system32\ieyh32.exe

O4 - HKLM\..\Run: [ieod32.exe] C:\WINDOWS\ieod32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CCDL.local

O17 - HKLM\Software\..\Telephony: DomainName = CCDL.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{E35D4F94-6CBF-491D-8961-D491691B3705}: NameServer = 192.168.1.140,192.252.19.3,194.2.0.20

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CCDL.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CCDL.local

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appyf32.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRpc.exe

O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoRT.exe

O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust\InoculateIT\InoTask.exe

O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe

[Invité Stonangel]

Bonjour et bienvenue sur Zeb' Sécu. Merci de dérouler la procédure suivante:

http://forum.zebulon.fr/index.php?showtopic=69176

[Comaï]

J'avais bien lu les consignes du forum.

 

J'ai donc déjà suivi cette procédure avant de poster mon log HiJack.

[Champagne]

Salut,

 

J'aime bien ta phrase : Mon PC est infecté par un Trojan (Windows XP).

 

Je l'ai aussi, le trojan windows xp! On ne s'en débarrasse pas comme ça...

[Médicus 33]

Y'a que le changement d'OS qui permet de l'éliminer !

 

 

Trêve de plaisanterie,tu es dans les mains de Stonangel alors tu vas t'en sortir..

Modifié le 29 août 2005 par Médicus 33

[BipBip07]

Salut,

ne voyant pas stonangel repasser il doit etre occupé et je te propose les manips a réaliser pour nettoyer ton PC.

Télécharger tu l'utilisera parés, AboutBuster

Ou la http://www.bleepingcomputer.com/files/spyw...boutBuster5.zip

 

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {4CAAE67A-7A0C-9C0D-D734-A9B58ADA489C} - C:\WINDOWS\ntxw.dll

O4 - HKLM\..\Run: [iprc.exe] C:\WINDOWS\system32\iprc.exe

O4 - HKLM\..\Run: [NAVNet] "C:\DOCUME~1\gcarreau\LOCALS~1\Temp\15.tmp" /m

O4 - HKLM\..\Run: [ieyh32.exe] C:\WINDOWS\system32\ieyh32.exe

O4 - HKLM\..\Run: [ieod32.exe] C:\WINDOWS\ieod32.exe

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appyf32.exe

 

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\WINDOWS\ntxw.dll

C:\WINDOWS\system32\iprc.exe

C:\DOCUME~1\gcarreau\LOCALS~1\Temp\15.tmp

C:\WINDOWS\system32\ieyh32.exe

C:\WINDOWS\ieod32.exe

C:\WINDOWS\appyf32.exe

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

 

AboutBuster

Dezip le, Lance le programme en mode sans echec

Sauvegarder le rapport et tu le postes ici.

 

Redemarrer normalement,

 

Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

 

Et reviens mettre un rapport Hijackthis

[Comaï]

OK, je fais tout ça demain et te tiens au jus.

 

Merci encore et à demain !