prb pc rapport hijackthis

[crevettes]

bonjour

voici le rapport

Logfile of HijackThis v1.99.1

Scan saved at 17:09:36, on 18/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Hijackthis\HijackThis.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

O21 - SSODL: CAHgUDHlDz - {344010F7-9EEA-BA5D-BC69-D89E63B60B4D} - C:\WINDOWS\System32\bemmu.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

 

merci de réponse

[Pollux_63]

Bonjour.

 

Bienvenu sur zeb'sécu. Merci d'avoir choisi notre forum.

 

Merci de préciser les problèmes que tu rencontres, et de reposter un log effectuer en mode normal (celui posté étant en mode sans échec)

[crevettes]

bonjour pollux 63

 

monpb se trouve sur un pc portable xp pro

apres avoir lancé antivir je suis bloqué avec une détection suivante

C:/windows/systéme32\lanh32.dll

contains a signature of the (dangerous)backdoor program

BDS/Haxdoor.1,5 backdoor server programs

 

Logfile of HijackThis v1.99.1

Scan saved at 17:56:09, on 18/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\ibmpmsvc.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\system32\resetservice.exe

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Hijackthis\HijackThis.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

O21 - SSODL: CAHgUDHlDz - {344010F7-9EEA-BA5D-BC69-D89E63B60B4D} - C:\WINDOWS\System32\bemmu.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

 

merci beaucoup pour ton aide

[Pollux_63]

re,

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

3/ Redémarre en mode sans échec.

 

4/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

O21 - SSODL: CAHgUDHlDz - {344010F7-9EEA-BA5D-BC69-D89E63B60B4D} - C:\WINDOWS\System32\bemmu.dll (file missing)

 

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Demarrer --> Executer --> tape "cmd" --> ok

 

recopier les lignes suivantes en gras dans la fenêtre qui vient de s'ouvrir:

 

sc stop PerfFont [valide]

sc delete PerfFont [valide]

 

 

7/ Supprime les fichiers incriminés (en gras) (s'ils existent encore) par l'Explorateur Windows :

 

 

- C:\WINDOWS\SYSTEM32\lanH32.dll

- C:\WINDOWS\System32\bemmu.dll

- C:\WINDOWS\System32\perfont.exe

 

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

9/ relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification et le rapport Ewido.

[crevettes]

Bonjour.

 

Bienvenu sur zeb'sécu. Merci d'avoir choisi notre forum.

 

Merci de préciser les problèmes que tu rencontres, et de reposter un log effectuer en mode normal (celui posté étant en mode sans échec)

[crevettes]

voici les deux rapports demande

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 19:35:35, 18/03/2006

+ Somme de contrôle: 28CEB52B

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall -> Adware.CoolWebSearch : Nettoyer et sauvegarder

HKU\S-1-5-21-746137067-1606980848-1343024091-1003\Software\RX Toolbar -> Adware.RXToolbar : Nettoyer et sauvegarder

C:\WINDOWS\system32\msupdate32.dll_tobedeleted -> Downloader.Delf.aic : Nettoyer et sauvegarder

C:\WINDOWS\system32\5file.tmp -> Downloader.Adload.t : Nettoyer et sauvegarder

C:\WINDOWS\system32\voi505.exe -> Downloader.CWS.s : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\Setup.exe -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\adm4.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\adm25.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\adm.exe -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\admdata.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\admdloader.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\admfdi.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\admprog.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\atl.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\dmfiles.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\DMinfo3.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\dminstall7.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\msvcirt.dll -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\mysearch.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\pmexe.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\pmfiles.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\pminstall.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\Temp\Altnet\Setup.cab -> Adware.Altnet : Nettoyer et sauvegarder

C:\WINDOWS\adelqxqd.exe.tmp -> Adware.180Solutions : Nettoyer et sauvegarder

C:\WINDOWS\piz..exe/eee2.exe -> Adware.MediaMotor : Erreur durant le nettoyage

C:\WINDOWS\876057.exe -> Adware.Mirar : Nettoyer et sauvegarder

C:\WINDOWS\eee2.exe -> Adware.MediaMotor : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Local Settings\Temp\ICD1.tmp\MediaGatewayX.dll -> Adware.WinAD : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Local Settings\Temp\901597666\4136.tmp -> Adware.WinAD : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Local Settings\Temp\901597666\5288.tmp -> Downloader.Small.cmc : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Local Settings\Temp\901597666\5244.tmp -> Hijacker.VB.li : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Local Settings\Temp\901597666\4272.tmp -> Downloader.Small.cmc : Nettoyer et sauvegarder

C:\Documents and Settings\Christophe\Cookies\christophe@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Program Files\RXToolBar -> Adware.RXToolbar : Nettoyer et sauvegarder

C:\Program Files\RXToolBar\sfcont.bin -> Adware.RXToolbar : Nettoyer et sauvegarder

C:\Program Files\MediaGateway\Updater.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\Program Files\MediaGateway\MediaGateway.exe -> Adware.WinAD : Nettoyer et sauvegarder

C:\Program Files\TheSearchAccelerator -> Adware.UCmore : Nettoyer et sauvegarder

C:\Hijackthis\backups\backup-20060314-104521-539.dll -> Adware.Mirar : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:41:36, on 18/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\ibmpmsvc.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\system32\resetservice.exe

C:\Hijackthis\HijackThis.exe

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

O21 - SSODL: CAHgUDHlDz - {344010F7-9EEA-BA5D-BC69-D89E63B60B4D} - C:\WINDOWS\System32\bemmu.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

[regis56]

Bonsoir crevttes !

 

Tes deux rapports montre qu'il y a encore du boulot

 

C:\WINDOWS\piz..exe/eee2.exe: Erreur durant le nettoyage

 

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

O21 - SSODL: CAHgUDHlDz - {344010F7-9EEA-BA5D-BC69-D89E63B60B4D} - C:\WINDOWS\System32\bemmu.dll (file missing)

 

Si personne s'occupe de toi

Je reviendrai t'aider plus tard

 

A plus !

[crevettes]

merci beaucoup mais pour ce soir c'est rape

par contre demain dans l'apres-midi si c'est possible vers 16h

encor merci

et a demain

[regis56]

Re

 

Tu est infecté par haxdoor

O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll

 

Cependant je n'est jamais fait utiliser cette procédure donc

 

 

Attend la validation par un conseiller en sécurité STP

 

 

 

Télécharge haxfix.exe (par Marckie).

 

Sauvegarde le sur ton Bureau.

Double clique sur haxfix.exe afin de l'installer (par défaut, il s'installe dans C:\Program Files).

Lorsqu'installé, assure toi que "Launch HaxFix" soit coché (la boîte est cochée par défaut).

Une fenêtre "DOS" avec fond rouge va apparaître.

Tu verras "Press any key to continue.."; appuie sur une touche du clavier pour continuer.

Ce message s'affichera :

Insert the haxdoor notify subkey without the numbers,

and then press enter:

Tu dois taper ceci : lanH

Appuie sur "Entrée".

 

Si l'infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres ("Close all windows").

Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l'outil), et appuie sur "Entrée".

Ton PC va redémarrer.

Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt

...ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

 

A plus !

[regis56]

Re

 

Validation obtenue tu peut y aller ( Merci tirol )

 

A plus !