Aide a la lecture de HijackThis

Question

Bonjour à tous,  

il y a peu j'ai été infecté par u-search.net suite à l'installation de groovedown. 

J'ai posté un message ici même pour savoir comment le supprimer mais devant l'absence de réponses, j'ai suivie une procédure glané sur ce forum (malwarebytes, pre-scan...). 

Il semblerait que cela ai marché mais pour en être sur j'ai lancé une analyse hijackthis dont voici le résultat : 


Logfile of Trend Micro HijackThis v2.0.4 
Scan saved at 18:26:11, on 12/11/2012 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Java\jre7\bin\jqs.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\wuauclt.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 
C:\WINDOWS\RTHDCPL.EXE 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe 
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 
C:\WINDOWS\system32\wscntfy.exe 
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HijackThis.exe 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) 
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll 
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll 
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll 
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll 
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll 
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" 
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL 
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.ma-config.com/plugins/MaConfig_5_2_2_0.cab 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL 
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll 
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll 
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe 
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe 
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe 
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe 
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe 
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe 
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe 
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) 
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe 
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe 
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe 
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe 
O23 - Service: wampapache - Apache Software Foundation - D:\Christophe\Projets - Dev\wamp\bin\apache\apache2.2.22\bin\httpd.exe 
O23 - Service: wampmysqld - Unknown owner - D:\Christophe\Projets - Dev\wamp\bin\mysql\mysql5.5.24\bin\mysqld.exe 

-- 
End of file - 8685 bytes 



Je ne sais pas la déchiffrer donc si une âme charitable pouvait m'aider. 

Si il faut éventuellement lancer d'autres soft pour pousser l'analyse pour être sur que rien ne traîne, pas de problme. 

Merci d'avance à tous 



Configuration: Windows XP / Firefox 12.0

juju666 · Answer

Salut,

J'ai posté un message ici même pour savoir comment le supprimer mais devant l'absence de réponses, j'ai suivie une procédure glané sur ce forum (malwarebytes, pre-scan...).  

Envoie moi tous les rapports que tu as + ça car hijack c'est dépassé :

Relance Pre_scan clique sur diag et héberge puis poste le rapport

cp38 · Answer

Bonjour juju666,

je n'ai pas réussi à mettre la main sur tous les rapports que les différents nettoyage ont généré. J'en ai quand même retrouvé quelques-uns :

Chk : http://pjjoint.malekal.com/files.php?id=20121113_i12r10l11f14o13

PureRa : http://pjjoint.malekal.com/files.php?id=20121113_w9z7p8t12d12

Slowin_Killer 1 : http://pjjoint.malekal.com/files.php?id=20121113_n12p9h14e15m13
Slowin_Killer 2 : http://pjjoint.malekal.com/files.php?id=20121113_h8y12s13v12x12

DelFix 1 : http://pjjoint.malekal.com/files.php?id=20121113_w13c10e5u7o10
DelFix 2 : http://pjjoint.malekal.com/files.php?id=20121113_w12c7b6e5z14

HiJackThis : http://pjjoint.malekal.com/files.php?id=HijackThis_20121113_m11m9g13f13s6

Si tu estime que cela pourrait être bien de faire d'autres analyses, pas de problème. Je suis ouvert à toutes remarques ou suggestions

juju666 · Answer

Ah ben ouais delfix a tout fait pété ^^

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

cp38 · Answer

OTL.txt : https://forums-fec.be/upload/www/?a=d&i=1060877910

extras.txt : https://forums-fec.be/upload/www/?a=d&i=9303176088

juju666 · Answer

Plus grand chose :)

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL
IE - HKU\S-1-5-21-1757981266-706699826-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://ww38.u-search.net/?a=1&e=1      
IE - HKU\S-1-5-21-1757981266-706699826-1801674531-1003\..\SearchScopes\{2D87D127-2707-4104-8C67-6CD42FE79FB4}: "URL" = http://ww38.qfind.net/?_inv&subid1=20201208-1154-3907-96a3-296b5dcb2a0c{searchTerms}      

:Commands
[EMPTYTEMP]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

cp38 · Answer

Le rapport est pas très long, je le poste ici : 

All processes killed
========== OTL ==========
HKU\S-1-5-21-1757981266-706699826-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1757981266-706699826-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes\{2D87D127-2707-4104-8C67-6CD42FE79FB4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D87D127-2707-4104-8C67-6CD42FE79FB4}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 970984 bytes
->Temporary Internet Files folder emptied: 47114 bytes
->FireFox cache emptied: 74811746 bytes
->Flash cache emptied: 877 bytes
 
User: All Users
 
User: Amélie
->Temp folder emptied: 9000085 bytes
->Temporary Internet Files folder emptied: 6227182 bytes
->Google Chrome cache emptied: 442343932 bytes
->Flash cache emptied: 492 bytes
 
User: Christophe
->Temp folder emptied: 12509607 bytes
->Temporary Internet Files folder emptied: 141212823 bytes
->FireFox cache emptied: 60607770 bytes
->Google Chrome cache emptied: 241016814 bytes
->Flash cache emptied: 89025 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 45571 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 78823020 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1069321 bytes
 
Total Files Cleaned = 1 019,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11132012_100547

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

bien

tu as encore des soucis?

cp38 · Answer

Dsl du temps entre les 2 réponses (j'ai eu un contretemps de dernière minute).

Visiblement, il n'y a plus de problème donc pour tout ça merci.

Apparemment, le problème venait de groovedown que j'ai installé. Il semblerait que si on choisi l'installation par défaut, il installe sans prévenir u-search (option que l'on peut ne pas accepter en passant par l'installation personnalisée). Je vais refaire un essai sans pousser l'installation en cas de doute.

En tout cas merci pour tout.

Une dernière question : aurais-tu une procédure ou un soft à faire tourner de temps en temps pour être sur que mon ordi est toujours clean ?

Passe une bonne journée et merci encore !!

juju666 · Answer

Le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

:)

Aide a la lecture de HijackThis

9 réponses

Votre réponse

Discussions similaires

Newsletters