[résolu] Ma première analyse Hijackthis

[bladestock]

Voilà, j'ai tout fait, voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:22:32, on 31/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\System32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Sygate\SPF\smc.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\SOUNDMAN.EXE

F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

F:\Program Files\Microsoft Hardware\Keyboard\type32.exe

F:\Program Files\Winamp\winampa.exe

F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\themeGold55\CursorXP\CursorXP.exe

F:\WINDOWS\System32\RUNDLL32.EXE

f:\progra~1\intern~1\iexplore.exe

F:\Program Files\Internet Explorer\iexplore.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\rsvp.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

F:\Program Files\MSN Messenger\msnmsgr.exe

F:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.asauuykogauwiuyrmznjmuqet.uk/HV...Pr13FwHHm2b.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebzfarkcsbcjvckp.us/HVJNgpHHHJP...YHY6LQ7EMKI.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [smcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [intelliType] "F:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [spySweeper] "F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Il n'y a rien à faire... Ce doit être un hiack assez puissant, non ?

 

Et merci encore !

[megataupe]

Je regarde ton nouveau rapport, réponse dans 15-20 minutes

[Invité tesgaz]

salut,

 

juste en passant par la dans le coin

c'est quoi cette ligne ?

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

 

tiens, celle-là est sympa aussi :

O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll

 

 

 

 

,bon, je vais promener le chien, ca va me faire du bien

Modifié le 31 décembre 2005 par tesgaz

[bladestock]

Salut ! Alors là, aucune idée...

[Invité tesgaz]

Salut ! Alors là, aucune idée...

bin moi, j'ai bien une ou 2 idées, mais mon chien remu la queue, c'est signe de promenade

 

megataupe va te dézingué le merdier

[megataupe]

Désactive le tea timer de Spybot.

 

Télécharge la version d'évaluation d'Ewido:

 

Ewido

 

Installe le et mets à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

 

Redémarre impérativement l'ordinateur en mode sans échec (touche F8 ou F5).

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.asauuykogauwiuyrmznjmuqet.uk/HV...Pr13FwHHm2b.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebzfarkcsbcjvckp.us/HVJNgpHHHJP...YHY6LQ7EMKI.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

 

Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked"

 

Toujours en mode sans échec démarre Ewido et clique sur le bouton "Scanner" dans le menu de gauche, puis clique sur "Scan complet du système".

 

Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

Quand le scan est terminé, sauver le rapport (Fichier--->Enregistrer sous...) et l'envoyer avec un nouveau rapport HijackThis.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

[bladestock]

Désolé de ne pas avoir fait suivre plus rapidement, je m'étais absenté pour les fêtes... Mais voici le rapport d'Ewido, suivi de celui d'Hijackthis :

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 16:09:27, 1/01/2006

+ Somme de contrôle: 2DC23D2C

 

+ Résultats du scan:

 

F:\Documents and Settings\Yann\Cookies\yann@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@ads.addynamix[1].txt -> Spyware.Cookie.Addynamix : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@as-eu.falkag[2].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@fl01.ct2.comclick[1].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@revenue[2].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Cookies\yann@z1.adserver[1].txt -> Spyware.Cookie.Adserver : Nettoyer et sauvegarder

F:\Documents and Settings\Yann\Mes documents\EA Games\Les Sims 2\Teleport\WFI_FRA.exe -> Not-A-Virus.Downloader.Agent.c : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df19317.txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df35.exe -> Spyware.WinAD : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df58.dll -> Spyware.180Solutions : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df70\yann@66.220.17[2].txt -> Spyware.Cookie.66.220.17.154 : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df70\yann@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df70\yann@banner.newyorkcasino[1].txt -> Spyware.Cookie.Newyorkcasino : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df70\yann@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

F:\RECYCLER\S-1-5-21-1343024091-117609710-839522115-1003\Df70\yann@redcats.122.2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

 

Rapport d'HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:17:21, on 1/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\System32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Sygate\SPF\smc.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\SOUNDMAN.EXE

F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

F:\Program Files\Microsoft Hardware\Keyboard\type32.exe

F:\Program Files\Winamp\winampa.exe

F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\themeGold55\CursorXP\CursorXP.exe

F:\WINDOWS\System32\RUNDLL32.EXE

F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

F:\Program Files\ewido anti-malware\ewidoctrl.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [smcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [intelliType] "F:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [spySweeper] "F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - F:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

Merci à tous et bonne fêtes !

[megataupe]

Bonjour Bladestock . Ton rapport est propre mais, tu vas désactiver la

restauration système pour nettoyer ton PC à fond, voir ici la manip :

 

Restauration système

 

Tu redémarres le PC après avoir désactivé la restauration et tu vérifies ensuite

quelle a bien été réactivée (manip inverse de la précédente).

 

Tu désinstalles Spy Sweeper et tu relances un scan d'Ewido pour vérifier.

[Jack_Burton]

Bonjour a tous, bonjour bladestock & megataupe et bonne année a tous,

 

bladestock, fixe encore cette ligne :

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

[megataupe]

Salut Jack . En effet, vaut mieux la fixer (reste de bulles dans mon cerveau ).