détection virus ... rapport hijackthis Fermé

Question

Bonjour,

suite à un ralentissement conséquent de l'ordi de ma fille j'ai fait une analyse anti virus avec avira qui a trouvé 4 pbm : adspy.gen /  aware.gen / crypt_cfi.gen / crypt.zpack.gen

j'ai ensuite fait une analyse avec hijackthis ... comme préconisé sur le forum ... mais le soucis c'est que je ne sais pas interprété !! alors si il y a une bonne ame pour me commenter ce rapport ! 

merci d'avance :

Logfile of HijackThis v1.99.1
Scan saved at 23:51:36, on 20/11/2009
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Bibiche\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis_199.zip\HijackThis.exe
C:\Documents and Settings\Bibiche\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.passport.com/ppsecure/md5auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\System32\prodsrvs.exe /res
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1070_em_XP.cab
O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?312
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Utilisateur anonyme · Answer

Bonsoir 

Hijackthis pas à jour.

1-	Télécharge et installe le logiciel HijackThis : 

  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html 

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge. 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

(Ne lance pas ce prg pour l'instant et fais la suite ... ) 


2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

-> http://images.malwareremoval.com/random/RSIT.exe 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer.
 
 Clic droit sous VISTA (exécuter en tant que…)
 
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). 

Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante ... 
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... 
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... ) 

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit ) 

@+

jlpjlp · Answer

slt
aie !

windows non a jour !  


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


mets a jour windows avec ici  le sp2  puis le SP3 : demarrer puis TOUS LES PROGRAMMES puis WINDOWS UPDATE , tu le refais plusieurs fois jusqu'a ce qu'aucune mise a jour prioritaire ne reste!

________________

puis


mettre a jour internet explorer
pour XP
http://download.microsoft.com/...

________________

puis


Telecharge genproc de Jean-Chrétien 1 et Narco 4.
http://www.alt-shift-return.org/Info/GenProc-HowTo.html
Poste le rapport .

isabret · Answer

bonsoir,
j'ai donc essayer de mettre à jour xp (tout d'abord passage à xp2) et au redemarrage ... mon pc s'est boqué : il s'allume ,puis apparait les messages "démarer en mode sans echec"ou "mode sans echec reseau" ou "Windows en normal" ou "ancienne configuration correcte" ou encore "Invite de commande" j'ai tout essayé et mon pc met le logo windows et se rallume en boucle. ... voilà ! je suis paumée : j'ai un cd quickrestore (puisque c'est un compaq) mais quand je boot dessus il me propose de tout réinstaller : avec le message suivant : cette action va reformater votre dd et détruire toute les applications et données installées" ... et aussi " cette procédure entraîne la destruction des données ..." ... alors qu'est ce que je peux faire ? j'ai pas d'autres cd ?

merci de votre aide.

isabret · Answer

Merci Guillaume de t'interresser à mon cas ... mais je ne vois pas comment suivre tes indications ... je n'ai plus la main sur l'ordi ... toujours l'écran qui me demande de choisir entre "démarer en mode sans echec"ou "mode sans echec reseau" ou "Windows en normal" ou "ancienne configuration correcte" ou encore "Invite de commande" j'ai tout essayé et mon pc fait mine de commencer : il va jusqu'au logo windows et de nouveau retombe sur lle premier écran ! et ça boucle : procédure toute les 30secondes !!!
en bootant sur le cd de restauration puis en quittant (car je ne veux pas reformater) je tombe sur C:\> .... y'a peut etre quelque chose qu'on peut faire à partir de là ? 

Isabelle

jlpjlp · Answer

pour réparer tu peux tenter 



1/ de réparer à partir d'un cd de Windows XP  ... 

https://www.pcastuces.com/pratique/windows/xp/default.htm 

http://www.informatruc.com/reparer-windows-xp/ 


2/ à partir d'une disquette de démarrage XP  du coup à créer (regarde le lien suivant) 

http://www.trucs-et-astuces-windows.com/disquette_boot/disqu­ette_boot.html 
http://www.trucs-et-astuces-windows.com/disquette_boot/disquette_boot.html


si tu ne trouve pas de cd xp pro utilise une disquette de démarrage. il faut démarrer l'ordi a partir de la disquette (si besoin configurer le bios pour qu'il démarre à partir de la disquette comme indiqué dans le lien 1 et mettre floppy ou disquette et non cd). 

attention il se peut que le clavier soit provisoirement configuré pour les langes anglaises. pour vérifier appuyer sur la touche a . si un q s'affiche c'est le cas. Efface cette lettre test avec la touche retour arrière. 


TAPEZ chkdsk/f C:/ (attention il y a un espace entre f et C:/) (C en majuscule) 

puis appuyer sur ENTREE 

si le clavier lors du test est en anglais il faut pour avoir le bon affichage TAPEZ chkdsk!f CM* ( espace entre le f et C) 


https://www.commentcamarche.net/contents/1014-disquette-boot 



3/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage) 

https://www.malekal.com/tutoriels-logiciels/ 

ou DR WEB live cd (même principe que Antivir rescue system)

https://free.drweb.com/aid_admin/


4/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....) 

http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.ht­ml 

http://ubcd.sourceforge.net// 




5/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer 
https://ubuntu.com/
http://knoppix-fr.org/ 
https://www.commentcamarche.net/faq/4883-knoppix-utiliser-knoppix-comme-cd-de-secours
https://www.commentcamarche.net/faq/15947-sauver-vos-documents-d-un-windows-mort-avec-le-live-cd-linuxmint


6/ 
sinon pour récupérer tes données on tenter de désinfecter: 

tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données 

ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave 

tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté 

7/ malheureusement si rien ne marche il faudra formater et réinstaller xp 

puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update) 

http://www.depannetonpc.net/...

http://www.ybet.be/depanner/install_windows.php 

puis
essaie  pour récupérer tes données effacées:

en gratuit:

Restoration 2.5 
https://www.01net.com/actualites/

ou pc inspector file recovry: 
https://www.01net.com/telecharger/windows/Utilitaire/disque_dur_cdrom_dvd/fiches/26520.html

ou recuva:
http://www.ccleaner.com/go/recuva.com

ou free undelete:
http://www.officerecovery.com/freeundelete/

ou avec glary utilities
https://www.commentcamarche.net/telecharger/utilitaires/11165-glary-utilities/

isabret · Answer

merci encore de tes explications ... premiere chose à faire pour moi : trouver un cd de Windows XP ... !!! je n'ai que les cd compaq livrés avec le portable : "quickrestore"
je vais donc demander au voisinage !!!

pour la suite je te tiens au courant

encore merci

à bientot


Isabelle

jlpjlp · Answer

les cd livrés compaq contiennent windows et donc tu peux faire la réparation depuis ce cd

Détection virus ... rapport hijackthis

7 réponses

Discussions similaires