analyse hijack

[veuvenoire]

Bonsoir tout le monde, je trouve que mon pc a des reactions bizare , pouvait me dire si il ya quelque chose d'anormal svp, merci d'avance.

 

Voici mon log :

 

Logfile of HijackThis v1.99.1

Scan saved at 02:38:16, on 18/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\autoclk.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\VeuveNoire\Bureau\Programmes\Fichiers\Logiciel\Protection\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [ins3DT] D:\INSTALL4\INS3DT.EXE

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1139704176359

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Thanos]

salut veuvenoire

 

Déjà reinfecté ?

 

As tu suivi la procédure? A part un troyan que l'on peut voir ici=>

 

 

O4 - HKLM\..\Run: [autoclk] autoclk.exe=>Troj.AutoClick!

 

J'aimerai que tu fasses analyser celui ci(en gras)=>

 

D:\INSTALL4\INS3DT.EXE

 

ici:

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

communiquer les 2 rapports.

 

Si tu ne vois pas le dossier, il est peut être caché:pour le rendre visible=>

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Profite en pour me dire quels sont les autres fichiers présents dans ce dossier (D:\INSTALL4 )

 

Jour Tirol

Modifié le 18 février 2006 par charles ingals

[tirol]

Salut à tous,

 

j'allais lui dire de fixer et deleter INS3DT.EXE.

Qu'est que ce truc fait dans D:\ ??

Mais charlie degaine trop vite.

 

autoclk, sûr que c'est vilain ? moi je dis non .

 

ce qui m'étonne aussi c'est que Veuvenoire s'inquiète des bavardages de son firewall sur d'autres posts §

dis-nous donc ce que tu trouves bizarre ?

 

Tirol.

Modifié le 18 février 2006 par tirol

[Thanos]

salut tirol

 

autoclk, sûr que c'est vilain ? moi je dis non .

 

Je me fie en partie à ceci chez Bleepingcomputer=>

 

http://www.bleepingcomputer.com/startups/a...k.exe-8060.html

 

Mais tu as raison, ca peut aussi être relatif à ton modem,auquel cas ce n'est pas infectieux :

 

http://castlecops.com/s7533-autoclk_exe.html

 

Le problème, c'est que ca fonctionne plutôt pour win 98 ou ME

 

Tu sais quoi veuve, je ne t'ai pas demandé de supprimer ce fichier,fais le analyser aussi pour être sûr!

Modifié le 18 février 2006 par charles ingals

[tirol]

re charlie,

il a un Sagem , non ? et autoclk s'en réfere. bref.

le mieux est de faire un scan en ligne.

Il a Avast! , qui ne trouve jamais rien, à moins d'éxagérer sur les warez, je sais je l'ai aussi pour checker les mails, et encore...

[Thanos]

re Tirol

 

Tu as raison , pourtant c'est écrit en gros!!=>

 

C:\Program Files\SAGEM\SAGEM F@st 800-908

 

J'ai souvent vu cet autoclk (normal!) ,si ca avait été le trojan, il se serait trouvé dans C:\Windows ... or ce n'est pas le cas!

 

Fais analyser celui ci par contre veuvenoire: INS3DT.EXE

 

Merci à Tirol , je devrait éviter de répondre pendant ma pause de nuit, ca m'évitera de dire des bêtises !!

[veuvenoire]

je comprend pas pour analyser INS3DT.EXE

il est dans D: et D: c'est mon lecteur donc jfai comment

[veuvenoire]

Svp les gars vous pouvez m'aider ??? je vois vraiment pas ou le trouver ce INS3DT.EXE

C'est peut-être tout bête et c'est moi qui bug lol mais je trouve vraiment pas.

[veuvenoire]

Dsl de vous faire chier mais là ça redémarre sans prévenir, j'aim meme eu le droi au célèbre écran bleu donc ça m'fait un peu flipper.

Si vous pouviez m'aider assez vite ça serait vraiment trés cool

merci beaucoup

[Thanos]

salut veuvenoire

 

Bizarre cette histoire?!!! La lettre D correspond à ton lecteur de dvd/cd et pas à une partition du dd??

 

Est ce que tu as lancé une recherche sur le disque avec l'assistant windows?

 

Peut tu faire un scan en ligne?=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.