rapport hijackthis

[fantomasse]

bonjour,

 

je vous transmet mon rapport hijackthis conformement à la procedeure decrite dans le forum.

 

les problemes que je rencontre concerne avast qui trouve des virus immpossible a supprimer puis ensuite je me retrouve bloquer

 

merci beaucoup pour votre aide

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:47:40, on 12/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.24-7searching-and-more.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24-7searching-and-more.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24-7searching-and-more.com/sp2.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\sstts.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~1\C-Media\WIN_ME\Setup.exe /SPEAKER

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab

O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.tvkoo.com/update/KooPlayer.ocx

O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.tiji.tv/programmes/sauvetout/je...Player15109.dll

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: apitrap.dll,wbsys.dll

O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll

O20 - Winlogon Notify: sstts - C:\WINDOWS\SYSTEM32\sstts.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

[regis56]

Bonjour fantomasse!

 

ton Pc est toujours infecté

 

Avant tout attend l'avis d'un expert !

 

pour les experts

 

winsysupd

winsysban

gimmygames

O18 - Pirates de protocole et de protocoles additionnels

O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)

 

pas d'antivirus pas de fire wall

 

A plus

[fantomasse]

merci regis56

 

ok je vais attendre les experts.

 

pour votre information j'ai vu tout a l'heure une fenetre installant sur mon ordi un logiciel nommé Freekeylogger.

 

 

 

 

 

en fait j'avais mal vu c'est freeprod.com qui se download tout seul .une fenetre s'ouvre et marque donloading freeprod.com

Je sais pas ce que c'est

 

effectivement regis56 je viens de voir mon parefeu desactivé et je ne peux plus le remmetre.

j'ai une fenetre qui me dit

 

une erreur s'est produite lors de l'activation du partage de connexion internet.

le service specfié n'existe pas en tant que service installé

[horus agressor]

Bonjour,

 

En attendant l'expert, essaie :

 

* http://forum.zebulon.fr/index.php?showtopic=83986

 

* http://forum.zebulon.fr/index.php?showtopic=85543

 

Amicalement.

[fantomasse]

bonjour,

 

je vais refaire un rapport en fin d'après midi en suivant srcupuleusement les consignes du forum.

 

mais je serais obligé de me reconnecter pour vous l'envoyer. cela ne va t il pas poser de probleme n'arrivant plus à mettre mon pare feu ??

 

merci.

[horus agressor]

Bonjour,

 

Désinfecte en mode sans échec :

Redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet,

vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran

noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu

des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec

"Comment démarrer l'ordinateur en mode sans échec"

( http://service1.symantec.com/support/inter...020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

...désinfecter...

 

...une fois le PC clean, le redémarrer normalement...

 

Essaie de réactiver au moins le parefeu Windows avant de te reconnecter au Net pour envoyer le rapport :

 

Démarrer, Exécuter, taper services.msc:

 

Chercher Centre de sécurité, cliquer 2 fois dessus et activer.

 

Chercher Pare-feu Windows / Partage de connexion Internet, cliquer 2 fois dessus et activer.

 

Et voilà la Windaube activée, c'est toujours mieux que rien...

 

Lire aussi http://www.zebulon.fr/articles/services_1.php et

http://www.zebulon.fr/articles/protectionPC_2.php

 

Installer Zone Alarme, qui est un excellent parefeu gratuit, si tu y arrive,

pour remplacer le parefeu Windaube : http://telechargement.zebulon.fr/58-zonealarm-60-fr.html[/b] et n'oublie pas de désactiver le parefeu Windaube, applique l'inverse de la procédure ci-dessus...

 

Amicalement et courage.

 

PS : j'espère ne pas marcher sur les platebandes des modos...il ne faut surtout pas hésiter à me corriger si je me trompe, mais personne ne semble vouloir filer un coup de main à fantomasse, alors j'applique ce je glâne et ce que je sais...

[tornado]

Salut à Regis, Horus Agressor, fantomasse,

 

pas d'antivirus pas de fire wall

 

Fantomasse a bien un antivirus même deux (un de trop!) Regarde ces lignes :

 

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

 

 

Quant au firewall, en effet rien qui montre la présence sur le rapport. A part celui d'Xp par défaut.

 

 

Sinon fantomasse, tu peux installer le firewall ZA comme Horus Agressor te l'a indiqué. Je pense que tu possèdes déjà celui d'xp, dans le cas contraire ton rapport aurait montré davantage d'infections (Sans firewall pendant plus de 10 min = pc inutilisable enfin presque).

 

Essaie de réactiver au moins le parefeu Windows avant de te reconnecter au Net pour envoyer le rapport :

 

Démarrer, Exécuter, taper services.msc:

 

Chercher Centre de sécurité, cliquer 2 fois dessus et activer.

 

Chercher Pare-feu Windows / Partage de connexion Internet, cliquer 2 fois dessus et activer.

 

Et voilà la Windaube activée, c'est toujours mieux que rien...

 

Donc pas besoin de faire toute cette manip pour activer le pare feu de Windows, car il est déjà censé être activé.

 

 

 

Bon passons à la désinfection de ton pc (merci à Horus et Régis qui ont débuté la procédure :

 

 

-Désinstalle les programmes suivants via "ajouter/supprimer des programmes":

 

-Findthewebsiteyouneed

-thesearchaccelerator

 

-Puis supprime les dossiers suivants (en gras):

 

C:\Program Files\TheSearchAccelerator\

C:\Program Files\Findthewebsiteyouneed\

 

 

-Lance hijackthis, "do a system scan only" puis coche les lignes suivantes:

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.24-7searching-and-more.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24-7searching-and-more.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24-7searching-and-more.com/sp2.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\sstts.dll

 

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\mnswpr.exe

 

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab

O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.tvkoo.com/update/KooPlayer.ocx

O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.tiji.tv/programmes/sauvetout/je...Player15109.dll

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe

 

 

- Fais "fix checked"

 

- Avant toute chose, fais ceci:

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

 

- Recherche puis supprime les fichiers suivants (s'ils existent encore):

 

 

C:\mnswpr.exe

C:\windows\winsysupd7.exe

C:\windows\winsysban7.exe

C:\\gimmygames.exe

 

NB: Fais-le de préférence en mode sans échec.

 

- Vide la corbeille puis redémarre

 

 

- Il faut impérativement que tu désinstalles un des 2 antivirus via "ajouter/supprimer des programmes". Car cela crée des conflits donc tonc pc est moins protégé. Je te conseille de garder Antivir qui forme un bon couple avec Zone alarm.

 

 

- On va ensuite nettoyer ton pc avec Easycleaner :

 

- Télécharge Easycleaner de Toni helenius --> http://telechargement.zebulon.fr/147-easycleaner.html

- Chosis les fonctions "Inutiles" et "Registre". Ne touche pas à la fonction

"Doublons"

- Fais "trouver" puis supprime tout ce qu'Easycleaner te propose.

- Vide ta corbeille

 

- Puis scanne ton pc avec Ewido:

 

- Télecharge la version d'essai d'Ewido ---> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" (protection en temps réel)

- Fais la mise à jour

- Lance un "scan complet"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

Fais un nouveau scan hijackthis après avoir appliqué tout ça puis poste son rapport ainsi que celui d'Ewido

 

 

A+

Modifié le 16 février 2006 par tornado

[Jack_Burton]

Bonsoir a tous,

 

Tornado, nous avons affaire a une variante de Vundo : conhook

Il faut appliquer une procédure particuliere !

 

fantomasse fais ceci :

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
  
• Coche Run VundoFix as a task.
  
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

Modifié le 13 février 2006 par Jack_Burton

[tornado]

Salut Jack,

 

Merci de ton intervention.

 

Quelles lignes t'ont permi de repérer Vundo ? Est ce que ce sont ces 2 lignes ?

 

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\sstts.dll

O20 - Winlogon Notify: sstts - C:\WINDOWS\SYSTEM32\sstts.dll

 

 

J'avais fait des recherches sur ce sstts.dll mais ça n'a pas donné grand chose...

 

 

Merci d'avance.

[Jack_Burton]

Quelles lignes t'ont permi de repérer Vundo ? Est ce que ce sont ces 2 lignes ?

Re bonsoir Tornado,

 

Oui ce sont ces lignes!

 

Dans le cas d une infection classique de Vundo :

L'infection s'identifie par la présence d'une ligne O2(MSEvents) accompagnée d'une ligne O20 - Winlogon Notify qui affiche le même dll que la O2.

 

Dans le cas de Conhook :

Vundo arrive parfois avec une ligne O2(no name) accompagné, comme par une infection classique de vundo, par une ligne 020 qui affiche le même dll que la O2

 

J'avais fait des recherches sur ce sstts.dll mais ça n'a pas donné grand chose...

C est normal, le nom des dll est aléatoire.

Modifié le 13 février 2006 par Jack_Burton