Trend micro hijackthis

Question

Bonjour, hubertaaz d'apres votre consei je cole ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:52, on 31/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\windows\system32\pctspk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: e404 helper - {03B902B1-9B25-4173-9468-56775C85A8D4} - C:\Program Files\Helper\1204465785.dll (file missing)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [aswactskin4.ocx] C:\PROGRA~1\ALWILS~1\Avast4\ASWREG~1.EXE "C:\windows\system32\actskin4.ocx"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-776561741-789336058-1957994488-500\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe

^^Marie^^ · Accepted Answer

Salut

Pour avancer

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto

Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.

Bon courage
A++

baksovet · Answer

Je ne touche rien  et quels sont mes demarches suivant ?

cordialement

hubertaaz · Answer

Re,

J'ai pris connaissance de ton rapport mais je préfère que ça soit un expert en sécurité qui te prenne en charge.

En attendant, juste une petite remarque : les lignes qui suivent m'interpellent dans le rapport :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone 

Cette section correspond aux sites ou adresses IP de la Zone de confiance d'Internet Explorer et aux Protocoles par défaut.

Est-ce que tu vois de quoi il s'agit?

hubertaaz · Answer

Pourrais tu Fixer une nouvelle fois les lignes en mode sans échec et ensuite refaire un scan HijackThis en mode normal  et le coller ici STP?

@+

hubertaaz · Answer

En attendant l'intervention d'un spécialiste, pourrais tu faire ce qui est indiqué aux points 1 à 3 du lien ci-après : http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr

Lors du téléchargement de CCleaner n'accepte pas la barre d'outils de Yahoo.
Le scan en ligne de BitDefender doit se faire uniquement sur internet Explorer.
Ne t'étonnes pas le scan BitDefender sera long.

Ensuite colle le scan AVG et celui de Bitdefender ici avec un nouveau scan HijackThis

ludsfa · Answer

bonjour je prends la suite ,
tu peux me poster un Hijackthis 
merci.

baksovet · Answer

J ai CCLEANER dans PC mais il ne s'ouvre pas , je vais reessaier avec votre lien et j'attend d'intervention d'un specialiste .
a +
merci d'infinement

baksovet

ludsfa · Answer

Re, 
 
Téléchargehttp://downloads.andymanchesta.com/RemovalTools/SDFix.exe(créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.  
 
Redémarre en mode sans échec 
 

Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier  SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.

baksovet · Answer

Bonsoir 
J'ai suivi des consignes de Marie mais le probleme de clavier est toujours la.

Merci

ludsfa · Answer

re ,
excuse moi d'insister mais je penses que tu n'as ni fais ce que t'as demandé marie et ni le sdfix que je t'ai demandé.
Si tu les à faits poste le ou les rapports avec un autre hijackthis.
Ton ordinateur est infecté il à un infection SD.

» Présentation
SDFix est un outil développé par AndyManchesta qui s'occupe de supprimer de nombreux fichiers infectieux, ainsi que de nettoyer votre PC de processus infectés, de services liés à des malwares, etc...

De plus, il permet également de détecter certains rootkits, de lister les fichiers cachés, et il restaure certains paramètres de Windows comme le fichiers hosts, le centre de sécurité, etc... souvent victimes de modifications par des malwares.

a bonne entendeur salut.

ludsfa · Answer

re,
toute mes excuses
je t'envois de suite un autre lien.
http://mickael.barroux.free.fr/securite/sdfix.php
voici un autre lien avec les explications envois le rapport après .
et un autre hijackthis.
excuse moi.

baksovet · Answer

Voila le rapport 

[b]SDFix: Version 1.165 [/b]

Run by Mirzoev on 31/03/2008 at 23:28

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Name:
sysrest.sys

Path:
\??\C:\WINDOWS\system32\sysrest.sys 

sysrest.sys - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

ludsfa · Answer

très bien tu peux me faire un hijackthis?

ludsfa · Answer

ouvre hijackthis mais cette fois ci fait "do a system scan only"
fix les ligne suivantes:

O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

ensuite en bas tu fais fix checked .


et enfin tu télécharge CCleaner pour nettoyer ton registre .
AIDE:https://forums.cnetfrance.fr

Tu télécharge http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
Tu l'installe et tu fais recherche , une fois la recherche terminé tu fais suppression.
ce logiciel tu pourras le supprimé après.

Une dernière chose tu me dira ce que tu en pense? change d'antivirus regarde ce lien dessous.

http://www.infos-du-net.com/forum/276331-11-antivirus-choisir-fonctionne

a bientôt. ludo.

afideg · Answer

Salut à tous

... et toujours pas de rapport SmitfraudFix réclamé gentillement par Marie !!

baksovet, tu te fous de la poire de ceux qui tentent de te venir en aide.
Tu manques donc de dignité et de respect !

Salut au passage à Régis59 et hubertaaz.
Coucou Marie

Al.

^^Marie^^ · Answer

Re

Tu m'excuseras mais ici nous travaillons en équipe.
Nous sommes un groupe, nous nous entraidons et nous bossons ensemble.
Ce que concerne toi afideg C EST PAS TES AFFAIRES ...  un peu déplacé ;;((

En attendant je me demande franchement comment tu es sorti d'affaire, 
dans la mesure où le rapport smitfraud est inexistant. Donc pas de contrôle possible.

Dans la mesure où, des lignes ne peuvent pas être supprimées comme ça !!!

Peux tu me coller le rapport smitfraud en entier -- stp--

^^Marie^^ · Answer

C'est le rapport d'hier que j'aurai voulu

baksovet · Answer

rapport 2
SmitFraudFix v2.309

Rapport fait à 11:52:09,50, 01/04/2008
Executé à partir de C:\Documents and Settings\TEMP.MIRZOEV-1C4E9F1\Bureau\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

baksovet · Answer

Ou trouve le rapport d hier ?
je vous ai envoye rapport 1 et 2.
cordialement

^^Marie^^ · Answer

Il est là le rapport d'hier

http://www.commentcamarche.net/forum/affich 5712468 trend micro hijackthis#19

Rapport fait à 23:01:18,32, 31/03/2008 
Executé à partir de C:\Documents and Settings\TEMP.MIRZOEV-1C4E9F1\Bureau\SmitfraudFix
Et en plus mal placé, car il ne faut pas qu'il soit dans les fichiers Temps

Refais un log hijackthis -- stp

baksovet · Answer

rapport 5
SmitFraudFix v2.309

Rapport fait à 12:15:22,22, 01/04/2008
Executé à partir de C:\Documents and Settings\TEMP.MIRZOEV-1C4E9F1\Bureau\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix


»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

baksovet · Answer

Ce fichier a ete cree par mon ordi tout seul en faite la session sapelle mizoev mais lordi a cree une nouvelle session temp mirzoev dans laquelle je suis obligee de me conecter

^^Marie^^ · Answer

Refais un log hijackthis -- stp

baksovet · Answer

Voila le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:10, on 01/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\windows\system32\pctspk.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\explorer.exe
C:\windows\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\windows\system32\sysrest32.exe
O4 - HKLM\..\RunOnce: [aswactskin4.ocx] C:\PROGRA~1\ALWILS~1\Avast4\ASWREG~1.EXE "C:\windows\system32\actskin4.ocx"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-776561741-789336058-1957994488-500\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\windows\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\windows\system32\pctspk.exe

Trend micro hijackthis

24 réponses

Votre réponse

Discussions similaires

Newsletters