HijackThis BehavesLike:Win32

[azf]

Bonjour a tous,

J'ai bien essayé de me debrouiller tout seul en allant sur l'explication du HijackThis mais mes limites sont atteintes, ce pourquoi je vous demande un petit coup de main.

Suite a une analyse online de bitdefender je me retrouve avec ça:

 

 

Résultats

 

Virus identifiés 3

Fichiers infectés 3

Fichiers suspects 0

Avertissements 0

Désinfectés 0

Fichiers effacés 2

 

 

Fichier analysé

Statut

 

C:\WINDOWS\system32\regperf.exe

Infecté par: BehavesLike:Win32.ExplorerHijack

 

C:\WINDOWS\system32\regperf.exe

Echec de la désinfection

 

C:\WINDOWS\system32\regperf.exe

Echec de la suppression

 

C:\WINDOWS\system32\zsfiles\00004.rps=>(gzip)

Infecté par: Trojan.Downloader.Purityscan.AU

 

C:\WINDOWS\system32\zsfiles\00004.rps=>(gzip)

Echec de la désinfection

 

C:\WINDOWS\system32\zsfiles\00004.rps=>(gzip)

Supprimé

 

C:\WINDOWS\system32\zsfiles\00004.rps

Mis à jour

 

C:\WINDOWS\system32\zsfiles\00005.rps=>(gzip)

Infecté par: Trojan.Dropper.Vb.KK

 

C:\WINDOWS\system32\zsfiles\00005.rps=>(gzip)

Echec de la désinfection

 

C:\WINDOWS\system32\zsfiles\00005.rps=>(gzip)

Supprimé

 

C:\WINDOWS\system32\zsfiles\00005.rps

Mis à jour

 

 

 

J'ai donc lancer par la suite:

1 Ad-aware négatif

1Spybot search and destroy négatif

1 Zérospyware négatif

1 Ccleaner pour nettoyer le tout.

 

Voila le rapport hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 12:15:43, on 22/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\PROGRA~1\FBMSOF~1\ZEROSP~1\ZEROSP~1.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.caramail.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [ZSScheduler] RunDll32.exe "C:\PROGRA~1\FBMSOF~1\ZEROSP~1\ZSScheduler.dll", runScheduler C:\PROGRA~1\FBMSOF~1\ZEROSP~1\

O4 - HKLM\..\RunOnce: [ZeroSpyware] "C:\PROGRA~1\FBMSOF~1\ZEROSP~1\ZSLoader.exe" -STARTUP

O4 - HKCU\..\Run: [ZSScheduler] RunDll32.exe "C:\PROGRA~1\FBMSOF~1\ZEROSP~1\ZSScheduler.dll", runScheduler C:\PROGRA~1\FBMSOF~1\ZEROSP~1\

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O20 - Winlogon Notify: winmfu32 - winmfu32.dll (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: ZeroSpyware FileDeleter (FileDeleter) - FBMSoftware - C:\PROGRA~1\FBMSOF~1\ZEROSP~1\FileDeleter.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Enfin j'ai refait un scan online bitdefender et malheureusement je me retrouve dans la meme situation.

 

 

Si quelqu'un peut m'eclairer sur la demarche a suivre je lui en serait reconnaissant. Merci d'avance

[Malekal_morte]

Bonjour azf,

 

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

[azf]

Voila j'ai suivi la demarche et voila le rapport:

C'est pas tres parlant pour moi!

 

SmitFraudFix v2.45

 

Rapport fait à 14:09:14,10, 22/05/2006

Executé à partir de C:\Documents and Settings\DUSS\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\ld????.tmp PRESENT !

C:\WINDOWS\system32\regperf.exe PRESENT !

C:\WINDOWS\system32\stdole3.tlb PRESENT !

C:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DUSS\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DUSS\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Malekal_morte]

Sur HijackThis, coche ces lignes :

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O20 - Winlogon Notify: winmfu32 - winmfu32.dll (file missing)

--> clic sur fix checked

 

-- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

 

Vide le contenu du dossier : C:\WINDOWS\system32\zsfiles\

 

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

 

-- Redémarre l'ordinateur

 

- Nettoye ton ordinateur avec CCleaner

 

Ca doit être OK

[azf]

Nickel!

J'ai suivi tes indications et je viens de faire un scan online sur bidefender et il ne me retrouve plus rien.

Tout semble aller pour le mieux.

Encore merci pour tes judicieux conseils.

A plus dans le bus!

[Malekal_morte]

Oki.

 

Je t'invite à jeter un coup d'oeil aux liens ci-dessous :

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses, plus nous serons nombreux, plus nous aurons de poids : crées un message selon ton infection, cela prend 5 minutes!

[gaisavoir]

Bonjour,

ayant moi aussi le même problème, voici le rapport de SmitFraudFix v2.47:

 

Rapport fait à 12:47:38,09, 25/05/2006

Executé à partir de H:\Documents and Settings\gaisavoir\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

 

H:\WINDOWS\system32\ld????.tmp PRESENT !

H:\WINDOWS\system32\ot.ico PRESENT !

H:\WINDOWS\system32\regperf.exe PRESENT !

H:\WINDOWS\system32\stdole3.tlb PRESENT !

H:\WINDOWS\system32\ts.ico PRESENT !

H:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Pierre Hidalgo\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci d'avance pour le coup de main

Cordialement

[Malekal_morte]

Bonjour,

ayant moi aussi le même problème, voici le rapport de SmitFraudFix v2.47:

 

Rapport fait à 12:47:38,09, 25/05/2006

Executé à partir de H:\Documents and Settings\gaisavoir\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

 

H:\WINDOWS\system32\ld????.tmp PRESENT !

H:\WINDOWS\system32\ot.ico PRESENT !

H:\WINDOWS\system32\regperf.exe PRESENT !

H:\WINDOWS\system32\stdole3.tlb PRESENT !

H:\WINDOWS\system32\ts.ico PRESENT !

H:\WINDOWS\system32\1024\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Pierre Hidalgo\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci d'avance pour le coup de main

Cordialement

 

Bonjour,

Je pense qu'il vaudrait mieux que tu créés ton sujet en copie/collant ce rapport.