demande d'analyse de rapport HijackThis [RESOLU]

[Aquarel]

Bonjour à tous

 

Mon ordi est certainement infecté par une Sal….. qui affecte Internet Explorer

 

Je résume les faits :

Apparition soudaine de nouvelles barres d’outils et de sécurité, problème de navigation, renvoi sur des sites indésirables … ect.

 

Le fait le plus marquant est l’Impossibilité de me connecter sur Ebay qui était ma page d’accueil.

 

Quand j’essaye de le faire, l’erreur suivante apparaît:

 

IEXPLORE.exe a rencontré un problème et doit fermer.

 

Voici donc ma demande d'analyse de rapport HijackThis.

 

Merci d’avance à tous ceux qui se devouent.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:18:45, on 07/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\SYSTEM32\winbrume.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {C8F21DFE-B35C-4274-82EC-1E072D09025E} - C:\WINDOWS\SYSTEM32\winbrume.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [intelMeM] C:\Program Files\Intel\Modem Event Monitor\IntelMEM.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe"

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe

O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Fenêtre d'état Canon LBP-810.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-30.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Program Files\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\IoctlSvc.exe

Modifié le 11 avril 2006 par Aquarel

[kevin76]

Bonjour aquarel,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Ton log montre de nombreux signes d'infections mais ne t'inquiète pas, nous allons désinfecter ton PC ensemble.

 

Applique la procédure de pré-nettoyage de Megataupe http://forum.zebulon.fr/index.php?showtopic=83986

Prends soin de bien l'appliquer, notament la configuration d'antivir, ceci est une étape trés importante !

 

Puis poste sur le forum dans le message que tu as déjà ouvert, clique sur "répondre" entre "flash" et "nouveau" le log Hijackthis demandé dans la procédure.

 

@+

[Aquarel]

Merci de ta réponse rapide et chaleureuse Kevin76.

 

Avant de poster mon message initial sur le forum, j’ai suivi scrupuleusement la procédure de Megataupe...

(un pas à pas super bien expliqué, bravo pour ce boulot !!!)

 

Grâce à ton lien, je viens de m’apercevoir que j’ai du suivre les phases 1 à 4 d’une ancienne procédure car je n’ai pas désinstallation Antivir en phase 3.

 

De plus j’ai installé HijackThis avant la procédure.

 

Dois-je tout recommencer ?

 

A++

[Thanos]

salut Aquarel, kevin76

 

Est ce la seule chose que tu n'ai pas faite dans la procédure?(désinstallation Antivir)

 

Il faudra le faire car tu ne dois conserver qu'un seul antivirus en résident sur ton pc.

 

Je te met la suite dans quelques instants

[Thanos]

On voit la présence du trojan Dropper-GF sur ton pc, pour l'éradiquer fais ceci=>

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

* Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8 ,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".Choisir le compte usuel (et non Administrateur).

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

*Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido .

 

Je te laisse avec kevin76

[Aquarel]

Bjr charles ... Oui, c’est la seule chose que je n’ai pas faite. (Désinstallation d’AVIAR AntiVirus)

 

A noter que les antivirus suivant sont installés sur mon PC : McAfee depuis 2 ans (payant), Ad-Aware SE et depuis 2 jours AVIAR.

 

[…….. tu ne dois conserver qu'un seul antivirus en résident sur ton pc]

En résident ... ? Que doits-je faire ? Supprimer Ad-Aware et AVIAR ?

 

Autre problème, quand j’essaye de suivre tes conseils et de télécharger « ATF Cleaner by Atribune » en cliquant sur tes liens, une autre adresse se substitue et je tombe sur ceci :

xxx://search.msn.com/results.aspx?q=atribune

 

Idem pour la version d'essai d'Ewido

 

Quelle mer… !!!!

 

A la place des liens il me faudrait les adresses où je puisse télécharger ces programmes.

Là, je ne sais plus par quel bout attaquer le pblm

Modifié le 11 avril 2006 par Aquarel

[kevin76]

Bonjour aquarel, bonjour Charles,

 

Tu as deux antivirus sur ton PC : Mc Afee et antivir , tu doit absolument en désinstaller un des deux. si tu satisfait de Mc afee garde le et désinstalle Antivir.

 

Pour télécharger ATF Cleaner d'Atribune voici l'URL : http://www.atribune.org/ccount/click.php?id=1 , le téléchargement devrait démarer automatiquement. Idem pour Ewido http://download.ewido.net/ewido-setup.exe .

 

Ad-Aware n'est pas un anivirus c'est un anti spyware.

AVIAR

je ne connait pas, tu veut surment dire AVIRA - Antivir ?

 

reprend maintenant les etapes decrite par Charles dans sont dernier message, tient nous au courant si tu as toujours des soucis pour télécharger les utilitaires

 

Bon courage

@+

[Aquarel]

Merci à tous pour vos suggestions

 

J’ai suivit ton conseil Kevin en supprimant un programme antivirus en gardant McAfee.

 

Pour la suite, il m’est absolument impossible de résoudre mon problème viral…. car ….

 

- Quand je tape http://www.atribune.org/ccount/click.php?id=1 ou http://download.ewido.net/ewido-setup.exe .................. Je me retrouve inexorablement sur xxx://search.msn.com.

 

Que faire pour télécharger les programmes que vous me conseillez ?

 

N’y a t’il pas une solution possible pour résoudre une partie des problèmes avec le rapport HijackThis que j’ai posté en tout début de ce sujet ?

 

Est-il possible de m’envoyer ATF-Cleaner.exe et les fichiers Ewido par E-mail ?

 

Voici mon email :

[email protected]

Modifié le 11 avril 2006 par Aquarel

[tirol]

Bonsoir Aquarel,

 

peux-tu vérifier ton fichier hosts :

à l'aide de l'explorateur windows (Touche Windows+E) descends ce chemin

 

C:\Windows\system32\drivers\etc

 

là tu dois trouver un fichier hosts (sans suffixe ).

clique droit et renomme le hosts.old

tu dois trouver également un fichier hosts.sam qui ne doit contenir que des lignes de commentaires, commençant par # et une ligne contenant ceci :

127.0.0.1 localhost

si c'est le cas, renomme ce fichier en hosts (sans suffixe) accepte le changement.

Et re-tente ce qui t'as été demandé précedemment. (charger ATF et Ewido)

 

tirol

[Aquarel]

Bonsoir Tirol

 

Merci pour l’info

 

J’ai bien trouvé le fichier HOSTS sans suffixe

…. mais pas de fichier HOSTS.SAM

 

Par contre j’ai un fichier LMHOSTS.SAM mais je suppose que ce n’est pas la même chose.

 

Pour le moment je ne renomme pas mon fichier hosts en hosts.old vu que je n’ai pas le hosts.sam

 

C'est normal de ne pas avoir de fichier hosts.sam ?