Sujet Précédent Sujet Suivant

Qui peut m'aidé pour une lécture Hijackthis

Hamerick -  
malwarebleach Messages postés 39 Statut Membre -
Bonjour, Bonsoir a vous tous et toutes,

Aprés avoir remarqué de trés sévères ralentissements sur ma machine j'ai décidé de faire une analyse au démarage via "Avast" mon antivirus ma trouvé un programme malveillant qui a était corriger. " je n'ai pas relevé le nom helas"

Aprés une autre analyse Ok "d'Avast" j'ai lancé une analyse "Spybot search & destroy" qui lui aussi ma trouvé :
-
Adviva
-Mediaplex
-Right Media

J'ai donc fait une demande de réparation mais aprés un redémarage et une nouvelle analyse certain malware était de retour.

J'ai donc essayer une autre analyse cette fois via "Malwarebites" mais pour lui tout est ok..

J'ai donc fini par prendre "Hijackthis" sur votre site et lancé une analyse je panse avoir trouver quelques lignes qui me semble suspecte, mais je ne suis pas assez qualifié pour affirmer cela.
Je vous envoie donc mon rapport dans l'espoir qu'une personne charitable puisse m'aidez a résoudre mon problème... d'avance merci :s



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:30, on 03/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\M-Audio\USB MIDI Series\AudioDevMon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbProd.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbProd.dll (file missing)
O3 - Toolbar: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} - C:\Program Files\Productivity_2.2\prxtbProd.dll (file missing)
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Eraser] "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_0_0_0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: USB MIDI Series Audio Device Monitor (USBMIDIAudioDevMon) - M-Audio - C:\Program Files\M-Audio\USB MIDI Series\AudioDevMon.exe
A voir également:

27 réponses

  • 1
  • 2
Réponse 1 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Salut,

Ta version d'hijackThis est dépassée.

je te propose ceci pour y voir plus claire :

Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag

* Si tu possèdes vista ou windows 7, pour lancer ZHPDiag fais un clique droit et "exécuter en tant qu'administrateur

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Attention, le site de ci-joint n'accepte pas les fichiers trop volumineux. Si le fichier de ZHPDiag est trop lourd tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr

Comment héberger un rapport sur ci-joint :


* Clique sur ce lien : http://www.cijoint.fr/
* Clique sur "Parcourir"... et cherche le fichier du rapport que tu souhaites me transmettre.
* Clique sur "Ouvrir".
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
* Copie-colle ce lien dans ta réponse.
1
Réponse 2 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Okay, c'est bien mieux comme ça.

Pour HijackThis, ta version est obsolète on en est aujourd'hui à la version 2.04.

Comme tu peux le voir, les outils utilisés pour faire un diagnostic de nos jours listent beaucoup plus de chose qu'hijakcThis. Bien plus pratique pour désinfecter un pc.

Sur ton rapport ZHPDiag, on peu voir une infection qui se propage par les supports amovibles, on va s'en occuper ensemble.
Tu as aussi, comme beaucoup d'internautes, installé des barres d'outils jugées infectieuses. Ces barres d'outils sont inutiles et ralentissent ton ordinateur et ta navigation.
Elles sont installées en même temps qu'un programme gratuit, il faut penser, lorsque tu installe un programme à décocher la case empêchant leur installation avant de cliquer sur suivant.

Tu vas utiliser cet outil pour confirmer la présence de l'infection qui se propage par tes supports amovibles :

/!\Désactive tous tes programmes de sécurité/!\

* Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur")
* Choisis l'option recherche
* Laisse travailler l'outil
* Ensuite héberges le rapport UsbFix.txt qui apparaîtra sur ci-joint
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque système (C:)

Ensuite pour les barres d'outils :

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
* (!) Déconnecte toi et ferme toutes les applications en cours (!)
* Double-clique sur l'icône AD-Remover (Utilisateurs de vista ou Seven, clic droit sur l'icône et choisir Exécuter en tant qu'administrateur).
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le lien ci-joint du rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

Pour finir, fais un nouveau rapport avec ZHPDiag et envoie moi le lien de ce nouveau rapport.

Merci d'héberger tous les rapports, ne fais pas de copié/collé.

++
1
Réponse 3 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
C'est bon pour les rapports. Il arrive que ci-joint fasse des caprices, victime surement de son succès.

Tu vas continuer avec USBFix :

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur")
* choisis l'option Suppression
* Ton bureau disparaîtra c'est normal .
* Ensuite héberges le rapport UsbFix.txt qui apparaîtra avec le bureau sur Ci-joint .

* Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

* /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Upload.php

* Ce dossier a été créé par UsbFix et est enregistré à la racine de ta partition système.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

J'attends donc le rapport de suppression de USBFix et un nouveau rapport que tu auras généré avec ZHPDiag, le tout hébergé sur l'héberger de ton choix si ci-joint fait des siennes.

++
1
Réponse 4 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Re,

Tu vas utiliser ce script pour nettoyer des restes :

- Télécharge ce document sur ton bureau : Hamerick.txt

- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag). Il se lance par double clique sous Xp, mais par clique droit et "exécuter en tant qu'administrateur" sous Vista et Seven.

- Glisse le document précédemment téléchargé directement dans ZHPFix, les lignes se placent dans la fenêtre de ZHPFix
- Clique sur "OK" puis sur "TOUS" et enfin sur "NETTOYER"

- Héberge le rapport de ZHPFix et envoie le lien ci-joint dans ta prochaine réponse

Le reste on verra demain, je dois me lever tôt.

++
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Re,

Le plus simple dans ce cas et de faire un nouveau rapport avec ZHPDiag, j'y verrai plus claire. Suis la procédure de mon premier poste.

++
1
Réponse 6 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Re,

Peux tu héberger ce rapport sur le site de ci-joint stp comme demandé. Merci ! ;o)
0
Réponse 7 / 27
Hamerick
 
Re dsl ... décidément Lol bon voila le lien :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijNC49JGm.txt
0
Réponse 8 / 27
Hamerick
 
Usbfix:
http://le.marseilloi.free.fr/Telechargement/UsbFix.txt

Ad report:
http://le.marseilloi.free.fr/Telechargement/Ad-Report-CLEAN%5b1%5d.txt

Dsl j'ai du improvisé car le deuxieme rapport ne voulez pas être pris par le site que tu m'a envoyer j'espère que tu ne m'en veut pas et que tu poura prendre le raport sans trop de dificulté
0
Réponse 9 / 27
Hamerick
 
UsbFix:
http://le.marseilloi.free.fr/Telechargement/UsbFix.txt

ZHPDiag:
http://le.marseilloi.free.fr/Telechargement/ZHPDiag.Txt

Alors grand chef ca dit quoi ?
0
Réponse 10 / 27
Hamerick
 
Bonne soirée et a demain, et surtout merci pour tout :)

http://le.marseilloi.free.fr/Telechargement/ZHPExportRegistry-03-02-2011-23-42-16.txt
0
Réponse 11 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Salut,

Ce n'est pas le rapport de ZHPfix que tu m'as envoyé, il doit se trouver sur ton bureau normalement. ;o)
0
Réponse 12 / 27
Hamerick
 
refait moi faire une manip pour reaire un report j'ai trop de report et j'ai tout mis en corbeille ca sera peut être plus simple d'en refaire un non ?
0
Réponse 13 / 27
Hamerick
 
http://le.marseilloi.free.fr/Telechargement/ZHPDiag.Txt
0
Réponse 14 / 27
Hamerick
 
Alors Grand chef mon probleme et t'il toujours la ?
0
Réponse 15 / 27
Hamerick
 
Quelqu'un ?! est encore la ?
0
Réponse 16 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Salut Hamerick,

Excuse moi d'avoir une vie sociale et de ne pas être 24H/24 devant mon pc.....

* Télécharge et installe Malwarebytes
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen rapide"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

++
0
Réponse 17 / 27
Hamerick
 
Euuu je ne t'ai fait aucun reproche ... je ne pense pas m'être indigné que tu ne m'ai aps répondu dessuite, si c'est ainsi que ca a etait perçu je m'en excuse mais ce n'etait pas le cas :)
0
Réponse 18 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Salut,

pas de problème, c'est juste pour info. J'attends ton rapport MBAM.

++
0
Réponse 19 / 27
Hamerick
 
http://le.marseilloi.free.fr/Telechargement/mbam-log-2011-02-08%20(19-23-43).txt

voila le rapport sauf que rien n'est detecté ici .. mais spybot trouve toujours des trucs lui ...
0
Réponse 20 / 27
malwarebleach Messages postés 39 Statut Membre 9
 
Salut,

Spybot doit te trouver des cookies traceurs un truc dans le genre, rien de méchant on en a tous sur nos pcs, faut bien qu'internet vive, c'est une contrepartie indispensable de nos jours.

Fais un nouveau rapport ZHPdiag et envoie moi le lien de lecture stp.
0

Discussions similaires

Message "Un bloqueur de publicité empêche la lecture..."
pistouri -
pistouri -

0 réponse
Erreur de lecture sur iptv smarters
Bogs -
bazfile -

1 réponse
comment desactiver un bloqueur de pub
amour10 -
MPMP10 -

4 réponses
Erreur de lecture des tv film et series sur mon appli iptv smarters pro
Constantenzostanley -
glandu -

1 réponse