Analyse d'un log infecté [résolu]

[tari]

Bonjour à tous, voici mon log hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 14:56:11, on 10/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\SurfAccuracy\SAcc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Titi Steph\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Reactivator - {AC2E8306-D24E-4082-8669-7781499F4E03} - C:\PROGRA~1\EVERYT~1.1\everycom.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Every Toolbar - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - C:\PROGRA~1\EVERYT~1.1\everycom.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [semanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe

O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\cwupoef.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [iziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146996835843

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

 

J'aimerai connaître la procédure a utiliser pour mon infection

 

C:\Program Files\SurfAccuracy\SAcc.exe

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s

Selon moi, ces lignes sont infectiueuses, pour le reste du log je ne sais pas merci de me venir en aide

 

Pour le problème au démarrage, le pc ne charge rien du tout (bios, périphériques ...) afiche un écan noir avec un chiffre en bas a droite

Cordialement Tari

Modifié le 15 juin 2006 par tari

[bibi26]

Bonjour à toi Tari et bienvenue sur zebulon,

 

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

Utiliser des logiciels de P2P (LimeWire, Kazaa etc..) n'est vraiment pas recommandé pour plusieurs raisons :

1. Presque tout les logiciels de P2P sont infectés
   
2. Les logiciels de P2P entraînent des pertes financières à certains créateurs ! Si vous aimez tel artiste, achetez son cd, allez voir un concert si vous voulez qu'il continue sa carrière de chanteur !
   
3. Le P2P ralentit la connexion internet
   
4. Le P2P entraîne de nombreux trous de sécurité (tout le monde peut voir ton adresse ip)
   
5. Pour voir le reste des conséquences, lit cette article de tesgaz : http://forum.zebulon.fr/index.php?showtopic=85544
   

Surement la cause de tes infections, merci de le désinstaller Pour t'en convaincre, lit l'article de tesgaz !

 

Il y a une chose que je comprend pas, comment tu as pu faire un log hijackthis si l'écran reste noir ? J'ai peut-être mal compris ?

 

De plus, ton système d'exploitation (Windows XP) n'est pas à jour (aucun pack, aucun correctifs...), ne le met pas à jour, on le fera à la fin de la désinfection !

 

En effet, tu es infecté, peux-tu suivre la procédure de mégataupe et posté les logs demandé à la fin SUR CE TOPIC ! Après, moi ou une autre personne t'aidera à désinfecter ton système :

 

Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz sol.gif , il vous est donc proposé d'expérimenter une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec ; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers systèmes)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis

 

Phase 4 : envoi du rapport HijackThis pour analyse

 

----------

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

----------

Manière d'utiliser cette procédure au sein d'une discussion :

- cliquer sur le bouton "Répondre" (à côté de "Citer" en bas à droite du message)

- Sélectionner la partie utile du texte (entre les lignes de tirets)

- Ctrl-C pour copier dans le Presse-papier

- annuler la réponse en cliquant sur la flèche "Retour arrière" (fonction du navigateur en haut à gauche de la fenêtre)

- Ctrl-V pour coller la procédure dans un post de la nouvelle discussion

- ajouter l'information "(Source : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176 )"

- (de cette manière, vous conserverez liens et mise en page)

- (vous pouvez aussi conserver la procédure dans un fichier texte -avec les balises- sur votre disque dur).

Modifié le 10 juin 2006 par bibi26

[tari]

Donc, je vais résumé la situation . J'ai effectué un rapport hijack car le pc démarre par intermitence !

 

Pour les packs, je m'occupe des apres la désinfection et pour les P2P je suis 100% d'accord avec toi (mais ce n'est pas moi qui choisit) ^^ moi je répare c'est tout lol

 

Donc c'est pour savoir si la non détection de quoi que ce soit est dut a un virus ou a une défaillance matérielle (processeur ou carte mère peut-être).

 

Merci de votre aide.

[bibi26]

Donc c'est pour savoir si la non détection de quoi que ce soit est dut a un virus ou a une défaillance matérielle (processeur ou carte mère peut-être).

J'irais plus à dire que ça vient de quelque chose reliée à l'hardware, mais je ne suis pas sûr à 100% vu le nombre de cochonneries.

Modifié le 16 juillet 2007 par bibi26

[tari]

En fait, je suis dans l'informatique et je n'ai jamais rencontré ce problème c'est pour ca que je me renseigne pour vori si d'autres, comme moi ont déja eu ce problème ... Bon je reviens je commence la phase 2.

[tari]

scan antivir

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 10 juin 2006 16:27

 

 

Jobname: 'Local Hard Disks'

 

Scanning for 370940 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: Titi Steph

Computer name: TITI-ET-STEPH

 

Version informations:

AVSCAN.EXE : 7.0.0.35 401448 21/04/2006 12:46:50

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:51

LUKE.DLL : 7.0.0.34 110632 05/04/2006 11:03:52

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:03:52

ANTIVIR0.VDF : 6.32.0.60 4323840 02/05/2006 08:28:54

ANTIVIR1.VDF : 6.34.0.209 1930240 02/05/2006 08:28:56

ANTIVIR2.VDF : 6.34.1.1 89600 01/05/2006 17:17:55

ANTIVIR3.VDF : 6.34.1.26 48128 01/05/2006 17:17:55

AVEWIN32.DLL : 7.0.0.8 1171968 21/04/2006 15:40:14

AVPREF.DLL : 6.34.0.0 33320 18/01/2006 12:05:44

AVREP.DLL : 6.34.1.20 1671208 01/05/2006 17:17:55

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:03

AVREG.DLL : 6.31.0.90 25128 28/07/2005 10:06:11

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:45

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:45

 

 

Start of the scan: samedi 10 juin 2006 16:27

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( 28 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\NTUSER.DAT.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\Local Settings\Application Data\Microsoft\Messenger\jerm54@hotmail.fr\SharingMetadata\etre-cest-vivre@hotmail.fr\DFSR\Staging\CS{3FC7EE90-D45C-D6A3-92DE-8506CAFE420F}\11\17-{3F~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\Local Settings\Application Data\Microsoft\Messenger\jerm54@hotmail.fr\SharingMetadata\etre-cest-vivre@hotmail.fr\DFSR\Staging\CS{3FC7EE90-D45C-D6A3-92DE-8506CAFE420F}\11\17-{3F~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Titi Steph\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\eMule\Temp\017.part

[0] Archive type: ACE

--> Systran Personal\Program\install.exe

[WARNING] An exception has been catched!

[WARNING] In the module 'AVPACK32.DLL' an exception occured.

Calling the function ArchiveExtractFile

Error description:ACCESS_VIOLATION

EAX = 0044D99A EBX = 000000AA

ECX = 00009C68 EDX = 04CB057F

ESI = 04D31000 EDI = 00080000

EIP = 00E3A2F9 EBP = 014BC948

ESP = 014BC93C Flg = 00010217

CS = 00000023 SS = 0000001B

--> Systran Personal\Program\systran.ico

[WARNING] Error creating the file

[WARNING] Error creating the file

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

 

 

End of the scan: samedi 10 juin 2006 17:30

Used time: 1:03:21 min

 

The scan has been done completely.

 

8117 Scanning directories

216103 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

7638 Archives were scanned

23 Warnings

0 Notes

 

Rapport hijack (apres nettoyage mémoire -_- ca ramai s'évère)

Logfile of HijackThis v1.99.1

Scan saved at 10:10:13, on 13/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Titi Steph\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [semanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe

O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\cwupoef.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Product Rappel concernant l'enregistrement] C:\WINDOWS\Temp\RegModule.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [iziWebFiles] C:\Program Files\Maïdo Production\IziWebFiles\IziWebFiles.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146996835843

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Modifié le 13 juin 2006 par tari

[bibi26]

Bonjour tari,

 

Analyse en cours, réponse bientôt

[bibi26]

Bonjour tari,

 

Ouf, pas de mises à jour, hijackthis sur le bureau, pas mal de cochenneries, on va avoir à faire un bon nettoyage Pourrais-tu placer hijackthis dans un répertoire dédiée comme C:\Program Files ? C'est assez important qu'il soit dans un répertoire dédiée et pas sur le bureau !

 

 

Il te faudra copier ces informations dans un fichier car tu n'auras pas accès à internet pour une grande partie des instructions !

 

 

1-Télécharge Ewido qui est un excellent anti-spywares/anti-trojans qui permettera d'éliminer une partie de l'infection : http://download.ewido.net/ewido-setup.exe

Après l'avoir télécharger, double-clique dessus et continue l'installation. Prend bien garde à la page "Additional options" de décocher les deux cases suivantes : "Install background guard" et "Install scan via context menu". Après l'installation, démarre ewido et clique sur l'onglet "Mise à jour". Après clique sur le bouton "démarrer la mise à jour" et attends que la mise à jour se termine, puis, ferme ewido

 

 

2-Pour finir, il te faut télécharger EasyCleaner : http://personal.inet.fi/business/toniarts/files/EClea2_0.exe , tu n'as qu'à double-cliquer sur l'exécutable et laisse toi guider par l'assistant

 

 

3-Avec le "Ajout/Supression de programmes" dans le panneau de configuration, désinstalle les logiciels suivants (si tu les trouves ) :

-Msn plus : Msn plus est inclus avec plusieurs cochenneries si on accepte le sponsor, or, sur ce log hijackthis, msn plus à été accepté avec les sponsors, tu pourras le réinstaller plus tard SANS les sponsors !

-SurfAccuracy : Une merde qui collectione tes habitudes de surf...

-RXToolBar : De même

 

 

4-Redémarre ton ordinateur, dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton "F8" jusqu'à ce qu'un menu apparaisse, sélectionne "Mode sans échec" et appuie sur le bouton "entrer" de ton clavier pour continuer le démarrage de Windows. Ouvre hijackthis et coche les lignes suivantes (il se peut que certaines lignes aillent disparues) :

 

R3 - URLSearchHook: (no name) - - (no file)

 

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)

 

O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [semanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe

O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s

O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\cwupoef.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

 

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll

 

Clique sur "Fix Checked", puis, ferme hijackthis

 

 

5-Clique sur le bouton "Démarrer" et clique sur "Poste de travail", regarde un peu en haut, tu vas voir un menu qui s'appelle "Outils", clique dessus et après sur "Options des dossiers" et clique sur l'onglet "Affichage" :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

 

6-Supprime les dossiers suivants (il se peut que certains dossiers aillent disparus) :

-C:\Program Files\SurfAccuracy

-C:\Program Files\RXToolBar

-C:\Program Files\Altnet

-C:\Program Files\MessengerPlus! 3

 

Fait de même avec les fichiers suivants (il se peut que certains fichiers aillent disparus) :

-C:\WINDOWS\cwupoef.exe

 

 

7-Lance ewido et clique sur l'onglet "scanner" et sur "scan complet du système". Dès la première infection trouvée, ewido va t'avertir qu'il a trouvé quelque chose, assure-toi que la case "Effectuer cette action avec toutes les infections" soit cochée et clique sur "OK" pour continuer l'analyse. À la fin de l'analyse, clique sur le bouton "sauvegarder le rapport" et sauvegarde-le.

 

 

8-Lance easycleaner, clique sur le bouton "inutiles", clique sur le bouton "trouver" et après, quand l'analyse est terminée, clique sur le bouton "Supprimer tout". Après, clique sur "Fermer". Fait de même avec la fonction "registre". Après, retourne sur ton bureau, clique sur droit sur la corbeille et sélectionne "Vider la corbeille"

 

 

9-Retourne en mode normal et fait un nouveau log hijackthis ! Poste le rapport hijackthis et ewido sur ce topic et va sur le site de panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Clique sur "Analysez votre PC" et suit les instructions pour analyser ton ordinateur . Garde le rapport panda et vient le poster sur le topic quand l'analyse est terminée !

 

 

En regardant le log, j'ai remarqué pour Shareaza, bon, à ton ami/client de voir, mais pour ce qui est d'incredimail, il vaudrait mieux le changer pour un bon logiciel comme Thunderbird, incredimail est assez douteux, lit cette article sur assiste.free.fr :

 

http://assiste.free.fr/assiste.com.html?ht...incredimail.php

 

Si tu as des questions, n'hésite pas

[tari]

Tout à fait d'accord thunderbird n'est pas trop mal. Au fait, désolé de ne pas avoir attendu mais c'étais urgent, j'ai donc rendu l'ordinateur à la personne (désinfecté, meme si ce n'était pas demandé )

 

(j'avais utilisé ewido, seule chose que je n'ai fait c'est le scan en ligne et la suppression des lignes)

 

Merci de votre aide messieurs & mesdames.

Modifié le 15 juin 2006 par tari