Virus et analyse hijackthis

Résolu/Fermé
kamoulbi Messages postés 12 Date d'inscription mardi 4 novembre 2008 Statut Membre Dernière intervention 2 novembre 2010 - 28 déc. 2009 à 23:21
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 29 déc. 2009 à 01:08
Bonjour,
J'ai depuis peu sur mon netbook un virus qui me balance des pubs pour anti spyware (security center alers, et malware defense), et qui m'éteint l'ordinateur tout seul.
Voici mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:29, on 28/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\s3graphics\chrome3\S3Funkey.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\s3graphics\chrome3\Chrome3.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\settdebugx.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wscsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Funkey] C:\Program Files\s3graphics\chrome3\S3Funkey.exe
O4 - HKLM\..\Run: [Chrome3] C:\Program Files\s3graphics\chrome3\Chrome3.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Program Files\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
A voir également:

5 réponses

dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
28 déc. 2009 à 23:59
Salut kamoulbi


Télécharge combofix.exe (de sUBs) sur le bureau :

Faire un clic droit sur ce lien :

http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur bibite.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
kamoulbi Messages postés 12 Date d'inscription mardi 4 novembre 2008 Statut Membre Dernière intervention 2 novembre 2010
29 déc. 2009 à 00:35
ComboFix 09-12-27.04 - Propriétaire 29/12/2009 0:20:07.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.958.756 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\Bibite.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\wscsvc32.exe
C:\WINDOWS\system32\drivers\H8SRTpavyqjpryp.sys
C:\WINDOWS\system32\H8SRTdvjklerrsp.dll
C:\WINDOWS\system32\H8SRTevtpxnstiq.dat
C:\WINDOWS\system32\H8SRTplthvcwbrf.dll
C:\WINDOWS\system32\krl32mainweq.dll
C:\WINDOWS\system32\srcr.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.

2009-12-28 23:08:37 . 2009-09-03 09:17:47 15688 -c--a-w- C:\WINDOWS\system32\lsdelete.exe
2009-12-28 22:28:41 . 2009-09-23 12:55:23 64288 -c--a-w- C:\WINDOWS\system32\drivers\Lbd.sys
2009-12-28 22:27:05 . 2009-12-28 22:27:07 -------- dc-h--w- C:\Documents and Settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-28 22:27:05 . 2009-10-03 08:15:32 2924848 -c--a-w- C:\Documents and Settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2009-12-28 22:26:20 . 2009-12-28 22:26:20 -------- dc----w- C:\Program Files\Lavasoft
2009-12-28 22:26:20 . 2009-12-28 22:26:20 -------- dc----w- C:\Documents and Settings\All Users\Application Data\Lavasoft
2009-12-28 22:00:40 . 2009-12-28 22:43:16 -------- dc-h--w- C:\WINDOWS\$hf_mig$
2009-12-28 21:52:47 . 2009-08-06 18:23:46 215920 -c--a-w- C:\WINDOWS\system32\muweb.dll
2009-12-28 21:52:46 . 2009-08-06 18:23:46 274288 -c--a-w- C:\WINDOWS\system32\mucltui.dll
2009-12-28 18:52:00 . 2009-12-28 22:53:59 -------- dc----w- C:\Program Files\Malware Defense
2009-12-28 14:31:19 . 2009-11-25 10:19:02 56816 -c--a-w- C:\WINDOWS\system32\drivers\avgntflt.sys
2009-12-28 13:21:28 . 2009-12-28 13:21:28 -------- dc----w- C:\Documents and Settings\All Users\Application Data\ESET
2009-12-28 01:26:28 . 2009-12-28 01:26:28 0 -c--a-w- C:\WINDOWS\nsreg.dat
2009-12-28 00:48:05 . 2009-12-28 00:48:05 -------- dc----w- C:\Documents and Settings\Default User\Local Settings\Application Data\Adobe
2009-12-28 00:46:33 . 2009-12-28 00:47:12 -------- dc----w- C:\Program Files\Fichiers communs\Adobe
2009-12-27 18:24:47 . 2009-12-27 18:24:49 -------- dc----w- C:\Program Files\CCleaner

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 21:51:40 . 2008-04-14 12:00:00 49054 ----a-w- C:\WINDOWS\system32\perfc00C.dat
2009-12-28 21:51:40 . 2008-04-14 12:00:00 368314 ----a-w- C:\WINDOWS\system32\perfh00C.dat
2009-12-28 19:53:06 . 2008-11-25 15:51:01 -------- dc----w- C:\Program Files\AbiSuite2
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 09:34:04 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2007-12-20 15:05:22 77824]
"S3Funkey"="C:\Program Files\s3graphics\chrome3\S3Funkey.exe" [2008-03-18 08:18:32 102400]
"Chrome3"="C:\Program Files\s3graphics\chrome3\Chrome3.exe" [2008-03-18 08:21:02 667648]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-27 11:37:00 16857600]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-24 09:18:00 774233]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 01:42:38 144784]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 18:42:24 116040]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 08:50:30 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 08:47:56 289064]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 03:08:38 35696]
"Adobe ARM"="C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 11:08:30 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 12:00:00 15360]

C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R0 Lbd;Lbd;C:\WINDOWS\system32\drivers\Lbd.sys [28/12/2009 23:28:41 64288]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17:32 1169232]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\drivers\RTL8187B.sys [05/05/2008 12:24:58 264576]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\drivers\S3gIGPm.sys [05/05/2008 11:34:08 596480]
R3 vcrdrx32;VIA MSP Cardreader driver;C:\WINDOWS\system32\drivers\vcrdrx32.sys [05/05/2008 12:19:08 71808]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\D:\EVEREST_Ultimate_Edition_2007_v4.10.1125_Beta\kerneld.wnt --> D:\EVEREST_Ultimate_Edition_2007_v4.10.1125_Beta\kerneld.wnt [?]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\k9ysids3.default\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Malware Defense - C:\Program Files\Malware Defense\mdefense.exe
0
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
29 déc. 2009 à 00:49
Salut kamoulbi


- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

- Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

KillAll::

Folder::
C:\Program Files\Malware Defense


- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++ :)
0
kamoulbi Messages postés 12 Date d'inscription mardi 4 novembre 2008 Statut Membre Dernière intervention 2 novembre 2010
29 déc. 2009 à 00:58
Problème résolu en 2 seule étape ! La deuxième est inutile.
Merci beaucoup
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
29 déc. 2009 à 01:08
Salut kamoulbi


Fais quand même un scan avec MBAM :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe


@++ :)
0