Rapport hijack suite à infection virale Fermé

Question

Bonjour,
Je suis infestés par toute sorte de virus qui apparaissent des que je me connecte à internet.

J'ai pensé qu'il seraitr utile de faire une analyse hijack dont voila le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 21:16:30, on 18/01/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\NVATray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\WDBtnMgr.exe
C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\DitExp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Documents and Settings\sylvie\Bureau\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe"  /dontopenmycards
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT HPW] C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Quelqu'un pourrait-il me dire a quel niveau mon ordinateur est infesté et quel sont les moyens d'y remedier ???

Merci d'avance

jlpjlp · Answer

slt
ton windowsn'est pas a jour! est ce normal?
_____________
si tu n'as pas de parefeu installe en un de suite!

 KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

_____________


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

sylbou · Answer

Je viens de faire une mise a jour de Windows

J'ai installé un parefeu

Voici le rapport :


Search Navipromo version 3.4.0 commencé le 18/01/2008 à 22:16:41,14

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\sylvie\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\sylvie\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\sylvie\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\sylvie\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 18/01/2008 à 22:31:26,29 ***

jlpjlp · Answer

desisntalle navilog

____________

encore des problemes depuis l'installation d'un parefeu?

_____________



 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox
	
https://www.trendmicro.com/fr_fr/business.html

sylbou · Answer

J'ai pas de connexion pour le moemnt sur mon ordinateur je peux pas faire de test en ligne. Y a t il un autre systeme

jlpjlp · Answer

scan avec

bit defender free

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html


a squared free:
https://www.01net.com/telecharger/

sylbou · Answer

Et voila

Désolé pour le temps mais il a mis vachement detemeps à analyseer


//-----------------------------------------------------------------
//
//	Produit BitDefender Free Edition v10
//	Produit 10.2
//
//	Créé le: 	18/01/2008	23:14:12
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: 	C:\
		E:\
		F:\
Dossiers	: 4154
Fichiers	: 107956
Processus Mémoire analysés	: 62
Archives	: 5 
Fichiers enpaquetés 	: 6555
Virus trouvés	: 6
Fichiers infectés 	: 6
Processus Mémoire infectés	: 0
Fichiers suspects 	: 0
Alertes	: 0
Fichiers désinfectés 	: 0
Fichiers effacés	: 0
Fichiers déplacés	: 6
Erreurs I/O 	: 9
Temps d'analyse 	:=00:30:16
Fichiers/seconde 	:59

Statistiques Spywares

Registres analysés		: 1601
Registres infectés 		: 0
Cookies analysés			: 307
Cookies infectés		: 0
Fichiers spyware infectés			: 0
Menaces Spyware détectées	: 0


Définitions virus	: 750731
Plugins d'analyse	: 16
Plugins archives	: 41
Plug-ins décompression	: 6
Plug-ins messagerie	: 6
Plug-ins système	: 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur: 
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1200694452.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\096VCXAJ\d1[1].exe	Infecté: Trojan.Pandex.H
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\096VCXAJ\d1[1].exe	Désinfection impossible
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\096VCXAJ\d1[1].exe	Déplacé
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\4PIFS923\d2[1].exe	Infecté: Trojan.Proxy.Dlena.BO
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\4PIFS923\d2[1].exe	Désinfection impossible
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\4PIFS923\d2[1].exe	Déplacé
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\d3[1].exe	Infecté: Generic.Malware.FYddld.3CA83612
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\d3[1].exe	Désinfection impossible
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\d3[1].exe	Déplacé
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\index[1].htm	Infecté: Trojan.Downloader.JS.Agent.MW
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\index[1].htm	Désinfection impossible
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\index[1].htm	Déplacé
C:\WINDOWS\system32\alt.exe	Infecté: Trojan.Peed.HVR
C:\WINDOWS\system32\alt.exe	Désinfection impossible
C:\WINDOWS\system32\alt.exe	Déplacé
C:\WINDOWS\system32	ray.exe	Infecté: Generic.Malware.Q!w.337ABB55
C:\WINDOWS\system32	ray.exe	Désinfection impossible
C:\WINDOWS\system32	ray.exe	Déplacé

jlpjlp · Answer

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :



C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\096VCXAJ\d1
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\4PIFS923\d2[1].exe 
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\d3[1].exe
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\GXMB0T2B\index[1].htm
C:\WINDOWS\system32\alt.exe
C:\WINDOWS\system32	ray.exe 


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_______________________

vire ce qui est dans movedfiles en allant dans poste de travail puis C puis otmovit

C:\_OTMoveIt\MovedFiles

________________________


utilise aussi pour supprimer tes traces

CCLEANER: (lance un netoyage et repare les clés)
https://www.01net.com/

__________________________

vire ce qui est en quarantaine dans bit defender puis recolle un scan avec

a plus

Rapport hijack suite à infection virale

7 réponses

Discussions similaires