Aide sur analyse de hijackthis

[margouillat]

Bonjour à tous ...

Je pense avoir eu un virus sur mon pc qui m'empêche de me connecter à internet (il ne reconnait plus le reseau sans fil) et j'ai découvert en cherchant à régler ce problème que je ne parvenais pas lancer Regedit.

 

J'ai fait des scans avec Ad-aware, spybot et ccleaner mais cela ne change rien.

 

J'ai utilisé HiJackThis, mais j'ai beaucoup de mal à trier l'indispensable de l'indésirable ... Je vous fais un copier-coller du doc. obtenu.

 

Si vous pouviez m'aider, je vous en serez reconnaissante.

 

 

Merci

 

..........................................................

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\TpScrLk.exe

C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

C:\WINDOWS\system32\TpShocks.exe

C:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe

C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\lclock.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\system32\RegSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TPHDEXLG.EXE

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\HijackThis.exe\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netvibes.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [PRONoMgrWired] C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\Utilities\EzEjMnAp.Exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [universal PDF Driver] "C:\PROGRA~1\Universal PDF Suite\PDFDriver.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [dlmMgr] "C:\Program Files\Fichiers communs\Adobe\ESD\AdobeDownloadManager.exe" restart=1

O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)

O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll

O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll

O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

[Thanos]

salut et bienvenue sur le forum

 

Je ne voit rien de mauvais sur ton rapport à première vue!

Peux tu stp faire un scan ici=>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

[margouillat]

j'aimerai bien pouvoir faire un scan en ligne, mais malheureusement, je ne parviens pas à me connecter de ce pc.

 

mais déjà merci beaucoup, je continu mes recherches pour résoudre ces 2 problèmes...

[Thanos]

lorsque tu passes par Démarrer=>Exécuter et que tu tapes regedit.exe ou regedit rien ne se passe?

et qu'en est il du gestionnaire de tâches?(CTRL+ALT+SUPP)

C'est souvent l'action d'un malware, mais ca peut aussi être dû à un dysfonctionnement.

Peux tu lancer un rappport comme ceci avec hijackthis =>

 

Lance hijackthis, clic sur [Open the misc tools section]

clic sur [Open ADS spy]

assure toi que les cases devant:

Quick Scan

et

Ignore safe system infos stream

soient COCHEES

Clic sur Scan, puis sur Save log

poste le rapport ici.

 

Lorsque tu cliques sur Save log, une fenêtre devrait apparaitre : enregistre le fichier sur le bureau.

C'est un fichier texte qui se nomme adsspy.txt.Copie/colle le contenu du rapport ici stp.

Il est aussi possible que le scan ne trouve rien ! Tu dois voir le message "scan complete" s'afficher au dessus du bouton "Scan" pour être sûr que le scan est achevé.

Modifié le 21 juin 2006 par charles ingals

[margouillat]

Merci beaucoup Charles pour le temps accordé ...

Alors, concernant la saisie de regedit ou regedit.exe ; effectivement, rien ne se produit : aucune ouverture de fenêtre ...

 

Concernant le scan avec "open ADS spy", il ne détecte rien.

 

Par ailleurs, je viens d'essayer de redémarrer windows en mode sans echec et il refuse de le faire en disant qu'il y a certainement un virus sur le disque dur...

 

J'ai également cherché à me connecter avec le système d'exploitation Ubuntu (car j'ai accès à windows PNX2 et Linux) sur le PC sans encore pouvoir me connecter à internet.

 

Et je pense que c'est rattaché à l'infection de "Worm.Bagle.pwd-eml". Mail avec une pièce jointe qui a été ouverte sur ce pc. Seulement, je ne trouve aucune info sur ce virus.

 

 

Merci encore pour l'attention

[Thanos]

re margouillat

 

il va falloir scanner le pc avec un antivirus: peux tu utiliser une clé usb pour transférer des fichiers?(ou dans le pire des cas graver!).Un antivirus que tu peux transporter facilement(avec sa mise à jour séparée)=>

 

Étape 1:

 

-Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.

 

-Désactive, le temps de la procédure, tous les contrôleurs d'intégrité

(si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,

Winpooch, etc..

 

Étape 2:

 

-Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer.

 

Étape 3: Mise à jour.

 

-Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept.

 

-Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.

 

Étape 4:

 

-Redémarre en mode sans échec.

 

Étape 5:

 

-Comment utiliser Trend Micro Sysclean Package :

• *Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
   
  *coche la case "Automatically clean or delete detected files"
   
  *Clique sur le bouton Scan
   
  *Patiente le scan peut prendre du temps!
   
  *Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.
   
  *Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
  

est ce que tu parviens à utiliser le gestionnaire de tâches?

 

@+