Aide pour un rapport HJT

[nGo]

Bonjour, j'ai un soucis je pense que mon pc est infected.

J'ai suivi la procedure pré-nettoyage et je poste donc le rapport fait en mode sans echec.

Merci d'avance

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:48:29, on 05/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [eqah0PSe] C:\WINDOWS\mbyvyogj.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [13e9cp6o] C:\WINDOWS\System32\13e9cp6o.exe

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_0802] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125943981066

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: telecable - Unknown owner - C:\WINDOWS\telecable.exe

[Jack_Burton]

Bonsoir nGo

 

Oui je confirme tu es infecté.

Laisse moi un petit moment j analyse ton rapport. Réponse dans un moment.

[Jack_Burton]

Re

 

1) télécharge et installe EasyCleaner

 

2) Redémarre en mode sans échec

 

3 ) Vérifie d'avoir accès à tous les fichiers en suivant cette procédure :

"Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer"

 

4) Désinstalle via "panneau de configuration""suppression de programmes" les logiciels suivant s ils s y trouvent :

-BullsEye Network

-SideFind

-YourSiteBar

-ISTsvc

-SurfAccuracy

5) Refais un scan Hijackthis

 

6) Fixe ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

 

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll

 

 

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [eqah0PSe] C:\WINDOWS\mbyvyogj.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

 

O4 - HKLM\..\Run: [13e9cp6o] C:\WINDOWS\System32\13e9cp6o.exe

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_0802] "C:\WINDOWS\Downloaded Program Files\UWFX5V_0001_0802NetInstaller.exe"

 

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125943981066

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

 

7) Effaces les fichiers et dossiers incrimés s ils existent encore :

-C:\WINDOWS\nem220.dll

-C:\Program Files\SideFind\sfbho.dll

-C:\WINDOWS\System32\msbe.dll

-C:\Program Files\YourSiteBar\ysb.dll

-C:\Program Files\ISTsvc\istsvc.exe

C:\WINDOWS\mbyvyogj.exe

-C:\Program Files\SurfAccuracy\SAcc.exe

-C:\Program Files\BullsEye Network\bin\bargains.exe

-C:\WINDOWS\System32\13e9cp6o.exe

- csrssrs.exe <=== certainement dans "system32"

- C:\Program Files\SideFind\sidefind.dll

 

Utilise l explorateur de windows pour les trouver ou la focntion recherchée via "démarrer ""rechercher"

 

8/ Nettoie ton systeme avec Easycleaner. Nettoyage des fichiers inutiles et de la base de registre. Ne pas utiliser la fonction doublons

 

9) Redémarre en mode normal et fais un nouveau scan hijackthis et colle le rapport ici

Modifié le 5 septembre 2005 par Jack_Burton

[nGo]

merci bcp je fais ca de suite

[Jack_Burton]

Je viens de remarquer que ce sont tes premiers messages sur ce forum. Alors je te souhaite la bienvenu sur le forum sécurité de zébulon nGo

Modifié le 5 septembre 2005 par Jack_Burton

[Jack_Burton]

Je te rajoute des lignes a fixer sur ton rapport.

1) Redémarre en mode sans échec

 

2) Désinstalle via "panneau de configuration" "suppression de programmes" :

-Internet Optimizer

-Power Scan

 

3) Fais a nouveau un scan hijackthis

 

4) Fixe ces lignes :

 

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

 

5/ Supprime les dossiers incrimés dans "Program Files" s ils existent encore

 

6) Redémarre en mode normal

 

7) refais un scan hijackthis et colle le rapport ici pour vérifier

 

Edit : je suis désolé de ne pas l avoir vu avant (, je commence a fatigué et mes yeux se ferment tous seuls )

Modifié le 5 septembre 2005 par Jack_Burton

[nGo]

Voilas ca y est j' ai suivi la procedure je poste donc mon nouveau raport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 01:10:48, on 06/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

[Jack_Burton]

Tu as bien pris en compte les 2 lignes que j ai rajouter dans un second message?

 

Ton dernier rapport a été fais en mode sans échec ( si c est le cas fais moi s en un en mode normal s il te plait)??? Je pensais pas que je l avais réduis a ce point Il est encore plus petit que le mien et celui de Tesgaz

Modifié le 5 septembre 2005 par Jack_Burton

[nGo]

Effectivement mon dernier rapport n avais pas ete fais en mode sans echec

je le re post douc ici

 

Logfile of HijackThis v1.99.1

Scan saved at 01:23:26, on 06/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\nGo\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

 

 

Oui j avais bien pris en compte les lignes rajouté

je dois rajouter qu'il n'y a aucun programme installer sur mon pc ce qui explique la courte liste

[Jack_Burton]

Bon il reste encore le fichier " csrssrs.exe" a supprimer. Tu ne l as pas supprimer tout a l heure?

 

1) Redémarre en mode sans échec

 

2/ Vérifie d'avoir accès à tous les fichiers en suivant cette procédure :

"Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer"

 

3) Tu lances un nouveau scan Hijackthis tu fixes ces lignes si elles apparaissent :

 

O4 - HKLM\..\Run: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunServices: [Win32 Csrss Service For Windows] csrssrs.exe

O4 - HKLM\..\RunOnce: [Win32 Csrss Service For Windows] csrssrs.exe

 

4) Ensuite tu cherches ce fichier "csrssrs.exe" via "démarrer" et "rechercher" et tu le supprimes... probablement dans C:\Windows\System32 (attention de ne pas te tromper de fichier ; il y a des noms qui se ressemblent)

 

5) redémarre en mode normal et fais un nouveau scan ( en mode normal !!! )