[résolu]Assistance hijackthis

[julieh]

Bonjour

 

Spyboot a détecté un truc sur le pc de mon frangin (je vous dirai le nom demain parce que je m'en souviens plus dans l'immédiat)

 

Du coup, nous avons suivi votre procédure et je vous joins le rapport hijack en espérant que vous pourrez nous aider à faire du nettoyage :

 

Logfile of HijackThis v1.99.1

Scan saved at 03:39:19, on 11/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bTCLiveUpdate] "C:\Program Files\LiveUpdate\LiveUpdate.exe" /autostart

O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .psd: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} -

O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119735746640

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

 

Merci !

[clis]

salut, je suis pas un pro du hijackthis , mais

a mon avis tu peux deja fixer ces lignes la.....

si tu remarques quelque chose qui ne te conviens pas apres,

tu peux tjrs revenir en arriere avec hijackthis sur certaine ligne.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .psd: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} -

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object)

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion....ebio5_1_6_0.cab

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

 

 

voila .....

je vois que tu as plusieur antivirus d'installer...

pas bon , fo pas avoir plusieur ...

un bon pare feu et un bon antivirus resident suffit

 

voila si cele peu t'aider

a+

[Jack_Burton]

Bonjour a tous, bonjour clis, bonjour julieh, soit le bienvenu sur le forum sécurité de zebulon

 

1/ Mise a part de nombreuses lignes inutiles et des services non essentiels, je ne vois rien d infectueux sur ce rapport.

 

2/ Tu peux suivre les conseils de clis, un peu d optimisation ne fait pas de mal.

Pour les lignes 023 que t as conseillé clis tu peux les fixer mais avant il faudra désactiver les services en question sinon elles reviendront sans cesse.

Pour faire cela :

 

Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche les services avec cette orthographe exacte:

-NVIDIA Display Driver Service (NVSvc)

- NMSAccess

-TabletService

-Macromedia Licensing Service

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

3/ Concernant ton fichier douteux : télécharge et installe Ewido, scanne ton systeme avec et poste le rapport je te prie.

 

 

Edit: je peux aussi te conseiller d adandonner Internet Explorer pour un navigateur alternatif tel que Firefox ou Opera

Modifié le 11 octobre 2005 par Jack_Burton

[clis]

merci Jack_Burton pour l'info ce qu'il faut faire pour fixer les ligne 023

je le savais, sans le savoir exactement en rapport avec les lignes 023

je t'acherais de la preciser dans l'avenir....

maintenant, j'aurais une question a propos de IE

sachant que ce n'est pas tout qui arrive a passer avec firfox

genre les mise a jour windows + antivirus en lignes

est-ce qu'il est possible de reelement se debarasser de IE ???

merci

[Jack_Burton]

Clis, je vais te répondre en MP si cela te dérange pas, arretons d interférer la discussion pour le probleme de julieh je te prie.

 

Edit : Coucou megataupe

Modifié le 11 octobre 2005 par Jack_Burton

[megataupe]

Bonjour Clis, bonjour Jack . Pour les mises à jour, on peut se passer d'Internet Explorer en passant par l'un de ces 2 sites si Firefox est le navigateur par défaut :

 

http://windowsupdate.62nds.com/

 

http://www.microsoft.com/france/technet/se...te/default.mspx

 

Il est préférable de garder IE en sommeil car, il est impossible à désinstaller complétement (trop intégré au système) et certains sites l'exigent pour les scans en ligne notamment.

[julieh]

Merci beaucoup a vous pour votre aide !

 

D'abord, je dois vous préciser un truc (j'ai l'impression qu'on a fait des bêtises....) :

 

1) il y a quelques mois, mon frère m'a dit avoir changé le fichier Host pour empecher l'accès a des sites X. Il dit qye depuis cette manip, y'a des petits problèmes et aussi, il y a eu de nombreuses alerte de S&B (teatimer).

 

2) Lord de la procédure préalable, AVG m'a signalé certains fichiers infectés et, comme précisé dans les instructions, j'ai effacé ces fichiers :

- Dial/301763

- Defaut.sfx

- DR/Winshell.50

- Dial Generic

Par contre, je n'ai pas pu effacer "Phisp/SunBkfraud.G"

 

Bref, depuis cette manipulation, on ne peut plus se connecter à Internet (je suis sur mon vieux portable là).

 

Ensuite :

 

Pour Jack Burton :

 

1/ Ouf !

 

2/ J'ai fait ce que tu m'as dit sauf pour "Macromedia Licensing Service" : l'option "arreter" n'était pas active, par contre, le type de démarrage était "manuel" et je mis "désactivé".

 

3/ Clis me dit que j'ai plusieurs antivirus : je dois enlever les autres avant d'utiliser Ewido ? Lesquels ? (normalement, j'ai Symantec Antivirus mais je ne sais quels autres)

 

Pour Clis :

Je ne sais pas comment "fixer". Fais une recherche sur cette manipulation et après, je "fixerai"

Ok Dans Hijackthis, je vois un bouton "Fix checked" : est-ce que je dois sélectionner les lignes que tu m'as indiquée et cliquer sur ce bouton ?

 

Merci à vous.

Modifié le 11 octobre 2005 par julieh

[Jack_Burton]

Re,

 

D'abord, je dois vous préciser un truc (j'ai l'impression qu'on a fait des bêtises....) :

 

Qui? ton frere et toi ou nous autres zebuloniens??

 

Lord de la procédure préalable, AVG m'a signalé certains fichiers infectés et, comme précisé dans les instructions, j'ai effacé ces fichiers :

 

AVG ou Antivir? Sur le rapport je ne vois aucune mention de AVG!

 

Bref, depuis cette manipulation, on ne peut plus se connecter à Internet (je suis sur mon vieux portable là).

 

Tu as peut etre supprimé un fichier necessaire pour la connexion du net.

Esssaye de réinstaller ton kit de connexion et les drivers de ton modem.

 

Clis me dit que j'ai plusieurs antivirus : je dois enlever les autres avant d'utiliser Ewido ? Lesquels ? (normalement, j'ai Symantec Antivirus mais je ne sais quels autres)

 

Je pense que Clis t as écris cela car l on voit sur ton rapport la présence de 2 antivirus : Antivir & Symantec antivirus.

Je suppose que tu as installé Antivir juste pour la procédure préliminaire donc aucun probleme la dessus (cependant n oublie pas a le désinstaller comme c est indiqué dans la procédure).

 

Ewido n est pas un antivirus mais plutot un anti spyware/trojans performant. Tu n es pas obligé de désintaller ton antivirus pour installer Ewido.

 

Je ne sais pas comment "fixer". Fais une recherche sur cette manipulation et après, je "fixerai"

 

Apres un scan hijackthis, tu peux cocher les lignes douteuses ou inutiles puis tu peux les "fixer" avec la case "Fix en bas de la fenetre.

Modifié le 11 octobre 2005 par Jack_Burton

[julieh]

Pour les bêtises, à priori, c'est nous

 

Oui pardon : il s'agit bien d'Antivir et je l'ai désinstallé (c'était précisé dans la procédure).

 

J'ai fixé les lignes : un message m'a alerter que mon "administrateur" voulait pas qu'on touche au registre (comprend pas très bien l'anglais mais bon...) mais apparement, tout à été fait correctement.

 

Maintenant, je vais passer Ewido.

 

Merci encore

[Jack_Burton]

Re,

 

J'ai fixé les lignes : un message m'a alerter que mon "administrateur" voulait pas qu'on touche au registre (comprend pas très bien l'anglais mais bon...) mais apparement, tout à été fait correctement.

 

Ton PC doit comporter plusieurs comptes d utilisateurs.

 

Essaye de réinstaller ton kit de connexion et les pilotes du modem on sait jamais !

 

Edit : conernant Ewido, son utilisation est limitée a 14 jours, au dela, il faut acheter le logiciel donc une fois le scan achevé tu pourras le désinstaller.

Modifié le 11 octobre 2005 par Jack_Burton