URGENT : besoin d'une analyse d'un HiJackThis Résolu/Fermé

Question

Bonjour,

ci-après un rapport à analyser SVP.
je viens de nettoyer un ordi et j'aimerais savoir s'il y a des lignes à fixer ou non.
j'ai fais tout la série de programmes de nettoyage.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:01, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMult.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media	bMult.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Lyonnais92 · Answer

Bonjour, 



2) Clique sur ce lien : 
http://www.alt-shift-return.org/Info/GenProc-HowTo.html 

ensuite, clique sur celui-ci et exécute le tuto du lien ci-dessus 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

Poste le rapport dans ta réponse. 

Ne commence pas à mettre en oeuvre les recommandations.

anneso · Answer

Bonjour et merci de m'avoir répondu.

Ci-après, le rapport demandé :

Rapport GenProc 0.72 [1] effectué le 27/11/2007 à 14:36:09,07 - SystemRoot = C:\WINDOWS 

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit  -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. 

Dans ta prochaine réponse, poste :
- le contenu du rapport qui va s'ouvrir ;
- un nouveau rapport GenProc.

Que dois-je faire maintenant ???

Merci d'avance

AnneSo

Lyonnais92 · Answer

Re,

1) Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

2) Télécharge ceci: (by Moe) : 

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe 

Double clic sur Lopxpsetup.exe pour lancer l'installation 
Au menu, choisir l'option 1 
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer ! 
Une rapport sera alors crée, à copie/colle en entier sur le forum.

anneso · Answer

voici donc le dernier rapport demandé :


Rapport Lopxp fait le 27/11/2007 à 15:39:54
Exécuté dans : C:\Program Files\Lopxp


Liste des processus actifs :

PID : 408 C:\WINDOWS\System32\smss.exe
PID : 460 C:\WINDOWS\system32\csrss.exe
PID : 484 C:\WINDOWS\system32\winlogon.exe
PID : 528 C:\WINDOWS\system32\services.exe
PID : 540 C:\WINDOWS\system32\lsass.exe
PID : 692 C:\WINDOWS\system32\svchost.exe
PID : 776 C:\WINDOWS\system32\svchost.exe
PID : 844 C:\WINDOWS\System32\svchost.exe
PID : 904 C:\WINDOWS\System32\svchost.exe
PID : 956 C:\WINDOWS\System32\svchost.exe
PID : 972 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
PID : 1128 C:\WINDOWS\Explorer.EXE
PID : 1304 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
PID : 1364 C:\Program Files\Alwil Software\Avast4\ashServ.exe
PID : 1568 C:\WINDOWS\system32\spoolsv.exe
PID : 1740 C:\Program Files\a-squared Free\a2service.exe
PID : 1768 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
PID : 1820 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
PID : 1888 C:\WINDOWS\System32\svchost.exe
PID : 1912 C:\WINDOWS\System32\wdfmgr.exe
PID : 340 C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
PID : 1020 C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
PID : 2456 C:\WINDOWS\system32\hkcmd.exe
PID : 2472 C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
PID : 2508 C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
PID : 2528 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
PID : 2552 C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
PID : 2560 C:\WINDOWS\System32\alg.exe
PID : 2576 C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
PID : 2572 C:\WINDOWS\system32\ctfmon.exe
PID : 3500 C:\WINDOWS\System32\svchost.exe
PID : 1624 C:\Program Files\Internet Explorer\iexplore.exe
PID : 3252 C:\WINDOWS\system32\cmd.exe
PID : 3908 C:\Program Files\Lopxp	ools\pv.exe



___________________________________________________________________________

[Tâches planifiées]



___________________________________________________________________________

[Listing des dossiers Application Data]


cr: Date Création | mo: Date Modification -=- Nom Long -= Nom Court (8.3)


+- C:\Documents and Settings\All Users\Application Data

cr: 22/02/2007 17:51:43 | mo: 22/02/2007 17:51:43 -=- Adobe ----= Adobe
cr: 18/01/2007 22:19:22 | mo: 18/01/2007 22:19:23 -=- APPLEC~1 -= Apple Computer
cr: 18/10/2007 21:03:57 | mo: 18/10/2007 21:03:57 -=- Grisoft --= Grisoft
cr: 16/10/2007 19:48:55 | mo: 16/10/2007 19:48:55 -=- Lavasoft -= Lavasoft
cr: 27/11/2007 15:16:50 | mo: 27/11/2007 15:16:50 -=- MAILFR~1 -= MailFrontier
cr: 08/08/2005 14:04:57 | mo: 16/10/2007 18:03:54 -=- MICROS~1 -= Microsoft
cr: 07/09/2005 13:57:08 | mo: 07/09/2005 13:57:08 -=- MSN6 -----= MSN6
cr: 04/05/2006 21:00:40 | mo: 24/04/2007 07:58:02 -=- RTE ------= RTE
cr: 16/10/2007 18:24:49 | mo: 16/10/2007 18:24:57 -=- Sony -----= Sony
cr: 28/02/2006 07:42:24 | mo: 25/11/2007 20:35:54 -=- SPYBOT~1 -= Spybot - Search & Destroy
cr: 27/02/2007 12:56:15 | mo: 16/10/2007 19:09:09 -=- STUPID~1 -= STUPIDCASTDRVBIN
cr: 08/08/2005 14:04:40 | mo: 08/08/2005 14:04:40 -=- WINDOW~1 -= Windows Genuine Advantage



___________________________________________________________________________

[Listing du dossier Program Files]

+- C:\Program Files

cr: 18/10/2007 21:08:30 | mo: 19/10/2007 21:59:38 -=- A-SQUA~1 -= a-squared Free
cr: 09/08/2005 08:59:48 | mo: 09/08/2005 08:59:48 -=- Adobe ----= Adobe
cr: 27/02/2006 23:09:20 | mo: 27/02/2006 23:09:20 -=- ALWILS~1 -= Alwil Software
cr: 27/02/2007 12:53:32 | mo: 20/10/2007 16:56:37 -=- BITDOW~1 -= BitDownload
cr: 16/10/2007 20:21:37 | mo: 16/10/2007 20:21:43 -=- CCleaner -= CCleaner
cr: 08/08/2005 14:25:41 | mo: 08/08/2005 14:25:41 -=- COMMON~1 -= Common Files
cr: 08/08/2005 13:17:51 | mo: 08/08/2005 13:17:51 -=- COMPLU~1 -= ComPlus Applications
cr: 20/05/2007 17:01:06 | mo: 20/05/2007 17:01:06 -=- DELETE~1 -= Delete bib load
cr: 28/02/2007 00:43:47 | mo: 16/10/2007 18:22:59 -=- eMule ----= eMule
cr: 24/10/2005 20:42:03 | mo: 24/10/2005 20:42:03 -=- EZFace ---= EZFace
cr: 08/08/2005 14:05:48 | mo: 16/11/2007 11:32:15 -=- FICHIE~1 -= Fichiers communs
cr: 18/10/2007 21:03:50 | mo: 18/10/2007 21:03:50 -=- Grisoft --= Grisoft
cr: 08/08/2005 14:52:58 | mo: 24/04/2007 07:58:40 -=- INSTAL~1 -= InstallShield Installation Information
cr: 08/08/2005 14:53:40 | mo: 08/08/2005 14:53:40 -=- Intel ----= Intel
cr: 08/08/2005 13:18:14 | mo: 17/10/2007 12:05:17 -=- INTERN~1 -= Internet Explorer
cr: 28/02/2006 00:44:18 | mo: 16/11/2007 11:32:00 -=- Lavasoft -= Lavasoft
cr: 27/11/2007 15:38:47 | mo: 27/11/2007 15:40:09 -=- Lopxp ----= Lopxp
cr: 08/08/2005 13:16:37 | mo: 02/03/2006 09:53:43 -=- MESSEN~1 -= Messenger
cr: 08/08/2005 13:21:51 | mo: 08/08/2005 13:21:51 -=- MICROS~1 -= microsoft frontpage
cr: 09/08/2005 08:18:52 | mo: 09/08/2005 08:19:53 -=- MICROS~2 -= Microsoft Office
cr: 09/08/2005 08:19:31 | mo: 09/08/2005 08:19:31 -=- MICROS~3 -= Microsoft Visual Studio
cr: 09/08/2005 08:19:43 | mo: 09/08/2005 08:33:37 -=- MICROS~4 -= Microsoft Works
cr: 09/08/2005 08:21:04 | mo: 09/08/2005 08:21:04 -=- MICROS~1.NET -= Microsoft.NET
cr: 08/08/2005 13:18:30 | mo: 02/03/2006 07:38:57 -=- MOVIEM~1 -= Movie Maker
cr: 08/08/2005 13:16:02 | mo: 08/08/2005 13:16:46 -=- MSN ------= MSN
cr: 08/08/2005 13:16:33 | mo: 08/08/2005 13:16:33 -=- MSNGAM~1 -= MSN Gaming Zone
cr: 27/02/2007 13:08:42 | mo: 27/02/2007 13:09:06 -=- MULTI_~1 -= Multi_Media
cr: 08/08/2005 13:18:23 | mo: 02/03/2006 07:33:08 -=- NETMEE~1 -= NetMeeting
cr: 27/11/2007 14:19:20 | mo: 27/11/2007 14:19:20 -=- Neuf -----= Neuf
cr: 09/08/2005 08:28:59 | mo: 17/03/2006 15:26:58 -=- OFFICE~1 -= OfficeUpdate11
cr: 08/08/2005 13:18:22 | mo: 13/06/2007 02:05:22 -=- OUTLOO~1 -= Outlook Express
cr: 18/01/2007 22:20:20 | mo: 16/10/2007 22:30:59 -=- QUICKT~1 -= QuickTime
cr: 08/08/2005 13:16:46 | mo: 08/08/2005 13:19:36 -=- SERVIC~1 -= Services en ligne
cr: 18/01/2007 22:24:38 | mo: 16/10/2007 18:31:13 -=- Sony -----= Sony
cr: 28/02/2006 07:42:19 | mo: 25/11/2007 20:35:55 -=- SPYBOT~1 -= Spybot - Search & Destroy
cr: 29/07/2006 09:29:33 | mo: 29/07/2006 09:29:33 -=- Thomson --= Thomson
cr: 16/10/2007 20:28:20 | mo: 16/10/2007 20:28:20 -=- TRENDM~1 -= Trend Micro
cr: 08/08/2005 13:29:55 | mo: 08/08/2005 16:17:10 -=- UNINST~1 -= Uninstall Information
cr: 27/12/2006 18:10:51 | mo: 20/10/2007 17:32:13 -=- WINDOW~4 -= Windows Live Safety Center
cr: 08/08/2005 13:16:45 | mo: 02/03/2006 07:38:58 -=- WINDOW~2 -= Windows Media Player
cr: 08/08/2005 13:16:02 | mo: 02/03/2006 07:32:58 -=- WINDOW~1 -= Windows NT
cr: 08/08/2005 13:16:46 | mo: 08/08/2005 13:16:46 -=- WINDOW~3 -= WindowsUpdate
cr: 08/08/2005 13:21:51 | mo: 08/08/2005 13:21:51 -=- xerox ----= xerox
cr: 27/11/2007 15:13:16 | mo: 27/11/2007 15:13:16 -=- ZONELA~1 -= Zone Labs

___________________________________________________________________________

[Recherche programmes connus, liés à CiD]


C:\Program Files\BitDownload
C:\Documents and Settings\Propri‚taire\Application Data\BitDownload
C:\Program Files\Multi_Media


___________________________________________________________________________

[Clés registre de démarrage]


___________________________________________________________________________

[Popups autorisés]


[-] Internet Explorer :

www.kingoloto.com
www.caf.fr
*.hotmail.msn.com

[-] Mozilla Firefox

[-] Suite Mozilla / SeaMonkey


___________________________________________________________________________

[Suggestion nettoyage registre] 

- Aucune suggestion.


- Fin du rapport -

Lyonnais92 · Answer

Re,

Genproc et lopxp ontdécelé les restes d'un infection par Cid, liée à l'installation de  Bitdownload le 27 février.

Ouvre l'explorateur Windows et supprime C:\Documents and Settings\All Users\Application Data\STUPIDCASTDRVBIN

J'espère que tu as installé un parefeu.

je te suggère aussi d'en profiter pour passer d'Avast à Antivir qui, actuellement, est plus performant (et intègre un anti-rootkit, forme de menace en pleine extension)

tuto et lien :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

J'espère ne rien t'apprendre en te disant que le P2P est risqué.

Il l'est de plus en plus : de plus en plus de sites sont pollués par de nouvelles formes de menaces assez coriaces.

Bon surf.
-

@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

anneso · Answer

Merci pour tout.
Et oui, j'ai installé un pare feu comme tu me l'a conseillé.
Et Antivir à suivre alors...
qu'entends-tu par P2P ?
penses-tu qu'il y a autre chose que je dois-je faire ?
encore merci.

anneso

Lyonnais92 · Answer

Re

 P2P : peer to peer

emule, birdownload, ...

Lyonnais92 · Answer

Bonsoir,

le rapport d'antivir ?

anneso · Answer

Bonjour,

je n'ai pas posté le rapport antivir car il n'a rien détecté.
de plus maintenant, je n'ai plus l'accés à internet sur l'ordi que j'ai nettoyé. Mais je pense qu'il n'y a plus de problème.
encore merci de ton aide.

Anneso

Lyonnais92 · Answer

Bonjour,

je n'ai plus l'accés à internet sur l'ordi que j'ai nettoyé

C'est un choix volontaire ? Sinon, c'est un problème.

anneso · Answer

non, c'est un choix tout à fait volontaire.
en fait c'est un ordi de mon boulot que j'avais ramené chez moi pour faire un grand nettoyage d'automne !
mais je l'ai ramené au boulot et pour le moment, nous n'avons pas de connection internet.
voilà
anneso

Lyonnais92 · Answer

Re,

OK.

Le post est résolu, comme c'est marqué.

Bonne suite à toi.

et de rien pour l'aide.

URGENT : besoin d'une analyse d'un HiJackThis

12 réponses

Newsletters