Analyse Highjackthis

[ldchamps]

Je pense avoir un problème

 

Quelqu'un pourrait il analyser pour moi mon rapport

Comment puis je le mettre dans mon message

[Invité Laurent_62]

Bonsoir ldchamps et bienvenue sur le forum de zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe STP

Tu y trouveras la procédure pour mettre ton Log

 

moi ou quelqu'un d'autre s'occupera de toi après

 

 

Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz , il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis

 

Phase 4 : envoi du rapport HijackThis pour analyse

 

----------

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :

http://speedweb1.free.fr/frames2.php?page=tuto5

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis (

http://www.merijn.org/files/hijackthis.zip

ou

http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec " Comment démarrer l'ordinateur en mode sans échec " (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

- attendre l'analyse et la réponse.

 

Bon courage et tiens nous au courant à plus !

[bruce lee]

bonjour a tous,

 

pourquoi avoir mis un autre sujet? http://forum.zebulon.fr/index.php?showtopic=94997

 

Pour repondre tu descends en bas de ton ecran et tu cliques sur le bouton "repondre" qui se trouve entre "flash" et "nouveau"

 

bonne continuation a vous deux.

[ldchamps]

la première fois je ne trouvais pas comment joindre le log

 

Ensuite j'ai pensé le copier simplement dans le message

 

le voici

 

Logfile of HijackThis v1.99.1

Scan saved at 19:50:34, on 14/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\Program Files\Ahead\InCD\InCDsrv.exe

I:\WINDOWS\system32\spoolsv.exe

I:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

i:\program files\mcafee.com\agent\mcdetect.exe

i:\PROGRA~1\mcafee.com\agent\mctskshd.exe

i:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

I:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\svchost.exe

i:\PROGRA~1\mcafee.com\vso\mcshield.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\Explorer.EXE

I:\Program Files\Ahead\InCD\InCD.exe

I:\PROGRA~1\mcafee.com\agent\mcagent.exe

I:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

I:\WINDOWS\system32\cft01ilj.exe

I:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

I:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

I:\Program Files\iTunes\iTunesHelper.exe

I:\Program Files\QuickTime\qttask.exe

I:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

I:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

I:\PROGRA~1\PHILIP~1\VProperty.exe

i:\progra~1\mcafee.com\vso\mcvsescn.exe

I:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe

I:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

I:\WINDOWS\system32\ctfmon.exe

I:\Program Files\Skype\Phone\Skype.exe

I:\Program Files\iPod\bin\iPodService.exe

I:\Program Files\AOL 9.0b\waol.exe

I:\Program Files\AOL 9.0b\shellmon.exe

I:\Program Files\Fichiers communs\Aol\aoltpspd.exe

I:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr.mcafee.com/root/forgotPassword.asp?close=true&RW=1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O1 - Hosts: 213.219.251.78 google.com

O1 - Hosts: 213.219.251.78 www.google.co.uk

O1 - Hosts: 213.219.251.78 google.co.uk

O1 - Hosts: 213.219.251.78 www.google.ca

O1 - Hosts: 213.219.251.78 google.ca

O1 - Hosts: 213.219.251.78 www.google.es

O1 - Hosts: 213.219.251.78 google.es

O1 - Hosts: 213.219.251.78 www.google.de

O1 - Hosts: 213.219.251.78 google.de

O1 - Hosts: 213.219.251.78 www.google.fr

O1 - Hosts: 213.219.251.78 google.fr

O1 - Hosts: 213.219.251.78 www.google.com.au

O1 - Hosts: 213.219.251.78 google.com.au

O1 - Hosts: 213.219.251.79 www.yahoo.com

O1 - Hosts: 213.219.251.79 yahoo.com

O1 - Hosts: 66.218.75.184 mail.yahoo.com

O1 - Hosts: 213.219.251.80 www.msn.com

O1 - Hosts: 213.219.251.80 msn.com

O1 - Hosts: 213.219.251.80 search.msn.com

O1 - Hosts: 213.219.251.80 www.search.msn.com

O1 - Hosts: 213.219.251.80 go.com

O1 - Hosts: 213.219.251.80 www.go.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - I:\Program Files\Starware\bin\Starware.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - i:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - I:\Program Files\AOL Toolbar\toolbar.dll

O4 - HKLM\..\Run: [inCD] I:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [MCUpdateExe] i:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MCAgentExe] i:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [VSOCheckTask] "i:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "i:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] I:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [cft01ilj] I:\WINDOWS\system32\cft01ilj.exe

O4 - HKLM\..\Run: [wbunkvax] I:\WINDOWS\wbunkvax.exe

O4 - HKLM\..\Run: [AOLDialer] I:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [TkBellExe] "I:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "I:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "I:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sunJavaUpdateSched] I:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ToUcamVProperty] I:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKCU\..\Run: [sTManager] "I:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b

O4 - HKCU\..\Run: [PowerBar] "I:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [MSKAGENTEXE] I:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [boontyBox] "I:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /boot

O4 - HKCU\..\Run: [skype] "I:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = I:\Program Files\AOL 9.0b\aoltray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = I:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &Recherche AOL Toolbar - res://I:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MI8CBC~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://i:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://i:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://i:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - I:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - I:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MI8CBC~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - I:\Program Files\AIM\aim.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - I:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...83/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,20/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3806CB15-9B6C-4968-8DE9-B5C3265A00A9}: NameServer = 205.188.146.145

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - I:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - I:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Boonty Games - BOONTY - I:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - I:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - I:\Program Files\iPod\bin\iPodService.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - i:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - i:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - i:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - I:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - i:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

 

Merci de ton aide car je n'ai pas encore de reponse

[bruce lee]

bonjour,

 

as tu suivis la procedure preliminaire? si oui patiente un peu Laurent_62, viendra t'aider

[Invité Laurent_62]

Bonjour

 

Nous allons donc procéder à un petit nettoyage

 

Télécharge

 

the hoster

Décompresse le sur le bureau

doubleclique sur Hoster.exe

 

Dans la rubrique backup and restore tools

clique sur le bouton restore microsoft's original hosts file Valide en cliquant sur OK à la demande.

Quitte hoster

 

 

 

Ccleaner

Cliquez sur download latest version en haut a droite pour le télécharger.

 

Installe le,

Dans erreur

Décocher la case devant Intégrité du registre et Intégrité des fichiers Ne l'utilise pas de suite

 

 

Regseeker

Un tuto

Décompresse le dans un dossier (c:\regseeker) on l'utilisera à la fin aussi.

 

 

version d'évaluation d'ewido

 

http://download.ewido.net/ewido-setup.exe

- Pendant l'installation

- Sur la page Additional Options

- Décoche Install background guardet et Install scan via context menu

Lance Ewido Security Suite. Clique sur Mise à jour

On l'utilisera en mode sans echec pour plus d'efficacité

 

 

 

Désactive la restauration systeme

 

 

Redémarre en mode sans echec

 

 

- Autorise l'affichage des fichiers et dossiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

 

- Relances Hijackthis clique sur le bouton Scanner seulement

- Coche la case devant ces lignes

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr.mcafee.com/root/forgotPassword.asp?close=true&RW=1

R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [cft01ilj] I:\WINDOWS\system32\cft01ilj.exe

O4 - HKLM\..\Run: [wbunkvax] I:\WINDOWS\wbunkvax.exe

 

 

- clique sur le bouton Fixer objet

 

 

Recherche et supprime ces fichiers

 

I:\WINDOWS\ wbunkvax.exe

I:\WINDOWS\system32\ cft01ilj.exe

 

 

- Utilise Ccleaner

 

- Décoche dans Erreurs la case devant Intégrité du registre et Intégrité des fichiers

- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage

 

 

- Utilise regseeker

nettoyage de la base de registre > ok pour lancer le scan, une fois terminé clique sur sélectionner tout et choisis sélectionner les éléments verts , clique droit sur la sélection et choisis supprimer les entrées

 

 

Lance Ewido

 

- Clique sur Scanner puis sur Scan complet du système

- Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée

- A la fin du scan, Sauvegarde le log afin d'en faire un copier coller apres

 

 

- Redémarre en mode normal

 

- Post le rapport d'Ewido préalablement sauvegardé

 

- Refais un scan avec Hijackthis et poste son rapport

 

Bon courage et n'hésites pas à demander si besoin

Modifié le 15 mai 2006 par Laurent_62