Analyse Hijack

[Fermé]
Signaler
-
 Astucien -
Bonjour,

Depuis quelques jours des fenêtres du type "yoteamo.net" "|http://ad.fr.doubleclick.net/ad/N5493.cdiscount_snoopy/*" "http://media2.tmlatn.com/images/defaults41/approved/404.htmlhttp://media2.tmlatn.com/images/defaults41/approved/404.html" s'ouvrent toutes seules. J'ai fait un scan avec Avast, Spybot et ça ne me détecte rien. J'ai supprimer également les cookies et le cache sans succès.

Si quelqu'un pouvait m'interpréter le résultat du scan avec Hijack afin que je sache d'où vient le problème.
Merci d'avance.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:12, on 03/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\o2flash.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLan.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [WLAN] C:\WINDOWS\system32\WLan.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [ZoneAlarm Installer] E:\DOCUME~1\TLCHAR~1\ZASUIT~1.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\System32\dmconfig32.dll
O20 - Winlogon Notify: f888edb6684 - C:\WINDOWS\System32\dmconfig32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

4 réponses

Messages postés
3392
Date d'inscription
samedi 26 avril 2008
Statut
Contributeur
Dernière intervention
8 mai 2021
396
Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
bonjours,


******************** Désactivation de SPYBOT *********************
* Durant la désinfection/suppression, désactiver la proctection de Spybot

IMPORTANT - Après les suppressions, vous réactiverez sa protection résidente.
Spybot affichera plusieurs pop-up, pour accepter ou non les modifications apportées au registre.

>>>>> Accepter toutes ces modification au registre, sans exeptions ! <<<<<<<



***************** Suppressions avec Hijackthis *****************

* Ouvrez par double-clique Hijackthis, appuyer sur "Do a system scan only",
* Cochez les ligne suivantes (en image) :

O20 - AppInit_DLLs: C:\WINDOWS\System32\dmconfig32.dll
O20 - Winlogon Notify: f888edb6684 - C:\WINDOWS\System32\dmconfig32.dll


* Fermez Internet Explorer et toutes les autre applications.

* Appuyer sur "Fix Checked", une fenêtre de confirmation apparaitra, cliquer sur Oui

* Redémarrer l'ordinateur.

******************** Suppression D'infections ********************

* Afficher les fichiers et les dossiers cachés de Windows

Aller supprimer ce fichier :C:\WINDOWS\System32\dmconfig32.dll


*********** Nettoyage des fichiers temporaire avec CCleaner ***********

* Télécharger - Installer CCleaner

* Durant l'installation décocher "mises à jours automatique"

* Cliquer sur Option et Avancé et Décochez : "Effacer .. les fichiers tempor.. de + de 48hre"

* Sélectionner Nettoyeur et cliquez sur Windows et aller à la section Avancé

* Cocher uniquement la première case : "Vieilles données du perfetch"

* Cliquer sur le bouton Analyse..

* Lorsque complété, cliquer sur Nettoyage à quelques occasions..


Ensuite re-paramétrer CCleaner avec les options d'utilisation courantes.
* Recocher les Options - Avancé : "Effacer .. les fichiers temporaires de + de 48hre",
* Dans Nettoyeur et Windows, Décocher : "Vieilles données du perfetch"



*********** Recherche d'autre infection avec Malwarebyte's ***********

Téléchargez - Installez Malwarebyte's

* Laissez-vous guider : choix de la langue, acceptation de la licence, dossier par défaut ...

* Cocher la case "Créer une icône sur le Bureau".

* Cochez bien la case Mettre à jour

* Cliquez ensuite sur Terminer.

Utilisation

* Double-cliquez sur le raccourci créé sur votre bureau

* Dans l'onglet Recherche, cliquez sur Exécuter un examen complet puis sur Rechercher.
* Sélectionnez votre ou vos disques durs.

* Cliquez ensuite sur Lancer l'examen.

* Après le scan, sauvegarder le rapport

* Affichez le rapport de Malwarebyte's dans votre prochaine réponse.
Bonjour,

Tout d'abord merci beaucoup pour votre aide.
J'ai suivi scrupuleusement vos conseils mais au moment de supprimer le fichier dmconfig32.dll celui-ci ne voulait pas se supprimer alors je l'ai renommé puis redémarrer le PC, puis j'ai réussi à le supprimer jusqu'à ce qu'il réapparaisse automatiquement. J'ai essayé plusieurs fois mais il finit toujours par revenir. J'ai alors quand même continuer de faire ce que vous m'avez dit et je vous poste le rapport de Malwarebyte's :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2904
Windows 5.1.2600 Service Pack 2

04/10/2009 11:30:16
mbam-log-2009-10-04 (11-30-12).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 136643
Temps écoulé: 22 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\dmconfig32.dll (Trojan.Tracur) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f888edb6684 (Trojan.Tracur) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\dmconfig32.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\dmconfig32.dll -> No action taken.

Dossier(s) infecté(s):
C:\WINDOWS\system32\LocalService (Worm.Archive) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\dmconfig32.dll (Trojan.Tracur) -> No action taken.
C:\Program Files\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP62\A0003647.dll (Trojan.Tracur) -> No action taken.
C:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP62\A0003662.dll (Trojan.Tracur) -> No action taken.
C:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP62\A0003663.dll (Trojan.Tracur) -> No action taken.
C:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP62\A0003666.dll (Trojan.Tracur) -> No action taken.
E:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP55\A0003125.exe (Trojan.Tracur) -> No action taken.
E:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP55\A0003126.exe (Trojan.Tracur) -> No action taken.
E:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP55\A0003132.exe (Trojan.Tracur) -> No action taken.
E:\System Volume Information\_restore{867E5A21-E262-45EC-8E9B-8A55F2F4536F}\RP55\A0003133.exe (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\LocalService\40.tmp (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\GroupPolicy000.dat (Malware.Trace) -> No action taken.
Ouvrez Malwarebytes et aller dans [Quarantaine], appuyer sur [Tout supprimer]

* Refaites une [mises à jours] de Malwarebytes et relancer un Scan rapide.
* Après ce scan (s'il y a eu des détections d'infection), appuyer sur [Supprimer la sélection].

Après ça faites scan en ligne chez Kaspersky, sauvegarder et poster le rapport.


Ensuite ..
Produisez et poster ce rapport-diagnostique, un peu plus élaborer que celui de hijackthis.

Téléchargez RSIT (de random/random) sur votre bureau.
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

Postez ce rapport, aussi disponible dans C:\RSIT\..


merci.
.
Merci beaucoup pour votre aide.

Je n'ai plus les fenêtres de sites malveillants qui s'ouvrent je pense que ça a marché.
Le scan en ligne bloque à un moment donc j'ai laissé tombé.
Je pense que les manipulations d'avant ont enlevé tous ces spywares et autres logiciels malveillants.

Encore merci pour votre aide !
C'est comme vous voulez Angie, me semble que ça serait plus sécuritaire de postez les rapports.

Anyway, si le dernier scan Malwarebytes ne montre plus de trace de ce >> dmconfig32.dll
Alors ça devrait être good !

Y a une chose pour compléter
Les répertoires C:\System Volume Information\ correspondent aux points de restauration du système. Et quand il y a eu plusieurs infections dedans, même si désinfecté. Préférable de purger cette Restauration du système. Après avoir été manipulée (la restauration) comme ça, à peut ne plus restaurer aucun point. Et ça ont s'en aperçoit que lorsque qu'ont a besoin de restaurer, sometime plusieurs jours ou semaines après.

- Purger les points de Restauration du système en désactivant et réactivant la Restauration du système, un nouveau point devrait être créé automatiquement.