Des explications !!! Résolu

Question

Bonjour,


                     J'aimerais que quelqu'un qui sache eradiquer des menaces a partir d'un scan HitJackhis m'explique comment il s'y prend. Qu'est ce qui est dangereux ?
                               Comment savoir ?

                      Vous seriez vraiment sympa en repondant ! Voila un exemple:


Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 21:53:24, on 29/03/2008 
Platform: Windows Vista SP1 (WinNT 6.00.1905) 
MSIE: Internet Explorer v7.00 (7.00.6001.18000) 
Boot mode: Normal 

Running processes: 
C:\Windows\system32	askeng.exe 
C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\ProgramData\incpglor\gvehkbcx.exe 
C:\Program Files\Windows Defender\MSASCui.exe 
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe 
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe 
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe 
C:\Program Files\iTunes\iTunesHelper.exe 
C:\Program Files\Winamp\winampa.exe 
C:\Program Files\Analog Devices\Core\smax4pnp.exe 
C:\Windows\System32undll32.exe 
C:\Windows\System32undll32.exe 
C:\Windows\System32undll32.exe 
C:\Windows\WindowsMobile\wmdc.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe 
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe 
C:\Program Files\Logitech\SetPoint\SetPoint.exe 
C:\Program Files\NETGEAR\WPN111\wpn111.exe 
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE 
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe 
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe 
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe 
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe 
C:\Windows\System32\mobsync.exe 
C:\Program Files\Windows Media Player\wmplayer.exe 
C:\Windows\WindowsMobile\WmdHost.exe 
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE 
C:\Windows\system32\cmd.exe 
C:\Windows\system32\conime.exe 
C:\Program Files\Navilog1\catchme.exe 
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: (no name) - {F087D755-2884-4ED8-ACC4-62A240819869} - (no file) 
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll 
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide 
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.24\AsRunHelp.exe 
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\AI Booster\OverClk.exe" 
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" 
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE 
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE 
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" 
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe 
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [Arucer] rundll32 C:\Windows\system32\Arucer.dll,Arucer 
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe 
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized 
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun 
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent 
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon 
O4 - HKLM\..\Policies\Explorer\Run: [FNEDOUrSLu] C:\ProgramData\incpglor\gvehkbcx.exe 
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') 
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe 
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe 
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ? 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll 
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll 
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FB05B44-4A8C-4BB4-BD74-903E857B7B03}: NameServer = 192.168.1.1 
O21 - SSODL: dwnrpofk - {077C76DC-FA07-4EFA-B731-D2240B849344} - (no file) 
O21 - SSODL: vbgtorfd - {F942853D-E0FB-4968-91E7-BA6ABB1EC4F4} - (no file) 
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe 
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe 
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe 
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe 
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe 
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe 
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe 
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe 

End of file - 9002 bytes 




  Merci d'avance!!

Lyonnais92 · Answer

Bonjour,

c'est quoi le problème ?

C'est ton ordi qui est infecté ? ou d'un parent ? ou au boulot ? ou ....

raphy00 · Answer

Salut, 
            Merci d'avoir repondu, c'est sympa.En fait je veux juste comprendre c'est quoi ce qu'il ya ecrit et trouver le probleme le dedans. J'ai juste copie collé de qqn d'autre qui avait un probleme et je cherche a comprendre ou il est et reussir a voir un probleme. 


             Merci !!

Lyonnais92 · Answer

Bonjour,

commence par lire ça :

https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/

raphy00 · Answer

Rebonjour, 

       Je crois pas que j'ai des problems sur l'ordi . Mais est ce qu'il ya un risque si je le telecharge  et que je fasse un test??  Ils me font peur avec la mise en garde...

Lyonnais92 · Answer

Re,

tant que tu ne coches pas de lignes, que tu n'utilises pas la fonction "delete on reboot', tu ne crains rien.

Si tu le places correctement, tu as des fonctions de sauvegarde.

La procédure d'installation et de création du log :

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
--

@+
N'acceptez jamais une désinfection par mp.

raphy00 · Answer

Merci, 

              Juste : je download comment ?   executable
                                                             
                                                              zip ou installer????

raphy00 · Answer

Re,   excuse moi mais comme je suis a peine debutant j'ai vraiment peur surtout avec la puissance du logiciel....

Lyonnais92 · Answer

Re,

tu fais exactement comme j'ai écrit.

C'est un exécutable.

raphy00 · Answer

Re et au secours??

         J'ai l'impression que c'est pas normal
Tu peux me dire si je me trompe??


                    
   4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe


J'ai  un gros gros doute sur le premier...

 Merci

Lyonnais92 · Answer

Re,

mets le rapport complet

io · Answer

Bjr
Tu as une carte graphique nvidia 
Mets le rapport complet,Lyonnais verra
Ensuite tu pourra faire tes recherches grâce à ses réponses

raphy00 · Answer

Re,


         Voila et merci de ton aide:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:06, on 07/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\LogProtect\LogProtect.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\LogProtect\lpwchdg.exe
D:\WINDOWS\system32
vsvc32.exe
D:\PROGRA~1\SPYWAR~1\sp_rsser.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [LogProtect] "D:\Program Files\LogProtect\LogProtect.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\PROGRA~1\SPYWAR~1\sp_rsser.exe

Lyonnais92 · Answer

Re,

un seul problème sur ce rapport, la Crawler Toolbar.

On l'enlève quand tu veux.

Pour le reste, tout est sain.

Lyonnais92 · Answer

Re,

on la supprime en 2 fois.

    Télécharge BTFix de Bibi26
    http://cluster1.easy-hebergement.net/ de Bibi26
    Dézippe l'archive sur ton Bureau.
    Ouvre le dossier BTFix.
    Double clique sur BTFix.exe.
    Clique sur Rechercher.
    Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

Le principal reproche est sa politique de confidentialité sur les données collectées.

Lyonnais92 · Answer

re,

    Double clique sur BTFix.exe.
    Clique sur Nettoyer.
    Poste le rapport dans ta réponse avec un nouveau rapport Hijackthis.

raphy00 · Answer

Et de 2:


Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\LogProtect\LogProtect.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\LogProtect\lpwchdg.exe
D:\WINDOWS\system32
vsvc32.exe
D:\PROGRA~1\SPYWAR~1\sp_rsser.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Larousse\Larousse Multilingue\Bin\Multilingual.exe
D:\PROGRA~1\Larousse\Shared\bin\hisrv3.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareTerminator] "D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [LogProtect] "D:\Program Files\LogProtect\LogProtect.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\PROGRA~1\SPYWAR~1\sp_rsser.exe

Lyonnais92 · Answer

Re,

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

raphy00 · Answer

C'est fait j'ai mis zonealarm.
Maintenant je suis mieux protégé.

                       Merci beaucoup pour ton aide precieuse !!!!

raphy00 · Answer

Salut,
                Je sais que le message date un peu, mais je crois pouvoir arriver maintenant a eradiquer une menace. Mais j'ai besoin que quelqu'un me teste. Pourrais tu m'aider ?

             Merci d'avance!

Lyonnais92 · Answer

Salut,

que veux tu que je fasse ?

raphy00 · Answer

Re,

      Merci d'avoir repondu si vite. En fait je veux essayer de m'occuper d'un message de virus/securité et tu me dis s'il y a des erreurs. Je prends un au hasard, je te dis ce que je pense qu'il faut faire, et tu me dis si j'ai tout bon. J'exagere peut etre un peu, mais j'essaie d'apprendre pour pouvoir aider. Voila.

             Merci beaucoup.

Lyonnais92 · Answer

Re,

OK, on commence par celui-là :

http://www.commentcamarche.net/forum/affich 6415683 indetectable#8

ne lis pas la suite des posts.

Dis moi où sont les infections et comment tu les éradiques.

Toutes les lignes signes d'une infection et, pour chaque 2 méthodes de désinfection.

raphy00 · Answer

Merci,
            Super je m'y mets. Merci et merci encore.

raphy00 · Answer

Re,
             1.Lancer hijackthis et choisir do a system scan only. Cocher les lignes suivantes et cliquer sur fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: (no name) - {7F5AD828-EA56-4101-9F1A-DB2DBD0A9D74} - (no file) 
O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll 
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) 
O2 - BHO: (no name) - {DC7812F4-D42F-4F51-B0B0-17B30B1825EC} - C:\WINDOWS\system32\iiffGXpq.dll (file missing) 
O2 - BHO: QXK Rhythm - {DF47FCFB-AA32-4ECC-9F32-C99E30385AF3} - (no file) 
O2 - BHO: (no name) - {EA2DC768-3877-450E-859D-556154796CB2} - (no file) 
O2 - BHO: (no name) - {F54F3C08-21DA-4A47-84CE-F495008AD4B7} - (no file)


         Puis reposter un rapport.

raphy00 · Answer

Je n'ai pas fini. 2mn . Problemes de connexion quand je suis sur vista . J'ai du le taper 2 fois Alors pour etre plus sur....

raphy00 · Answer

Re,
            Pourrais tu me dire si je peux telecharger moi meme  OtmoveIt sur mon sans danger ordi et sur quel lien?

            Merci!

raphy00 · Answer

Bonjour, 
                    Meme question pour ComboFix, Vundofix.
Merci!

Lyonnais92 · Answer

Bonjour,

pas de problème pour OTMoveIt :

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

inutile pour Vundofix qui n'est plus efficace

pour Combofix :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

outil puissant, à utiliser en dernier recours.

comme beaucoup d'outils, il est mis à jour très régulièrement (donc il faut le retélécharger).

Tu n'auras pas d'infos sur le mode d'emploi autre que ce qui existe dans le lien ci-desssus. Le créateur de l'outil s'y oppose.
_______________________

Ton post 28 ne répond pas à ma question du post 26.

Une seule ligne concerne une infection active :

O2 - BHO: (no name) - {88ebbe0b-5ff8-4b84-b043-71a216374a5b} - C:\WINDOWS\system32\urqRhFyW.dll

tu n'as pas dit quelle infection est concernée.

La "fixer" par Hijackthis ne servira à rien : une ligne semblable va réapparaître au prochain redémarrage de l'ordi.

Pour les autres lignes que tu cites, 


les lignes 1 et 4 ne sont pas liées à une infection.

Pour les autres, ces lignes sont inutiles mais l'infection n'est plus active.

Un outil incontournable :

http://www.castlecops.com/CLSID.html

Fais un copier-coller du CLSID dans la zone de recherche puis clique sur SEARCH et regarde ce qui se passe.



Et il manque des lignes infectés.

raphy00 · Answer

Bonbonbon,
                  J'ai fait plusieurs recherches avant et je n'ai jamais vu autant d'infections.


            1.Telecharger et enregistrer OtmoveIt sur le bureau. Copier ces lignes sur l'endroit de recherche, et cliquer sur CleanUp!, ou lancer une recherche et supprimer:


C:\WINDOWS\system32\urqRhFyW.dll 
C:\WINDOWS\SYSTEM32\crypts.dll 
C:\WINDOWS\SYSTEM32\WinNt32.dll 
C:\WINDOWS\mpfanvqg.dll 

                 Ce sont des noms de dll aleatoires, signes de vundo. Ils ne sont pas dans la liste blanche de hijackthis, pour les 020.

             2.Telecharger Malwaresbytes anti malwares pour supprimer l'infection virusheat ligne 022. Scan complet et suppression des elements malveillants.En fait j'ai deja attrapé ce virus.Je ne vois d'autres methodes a part fix checked pour la 2ieme methode.

Merci de ton aide

raphy00 · Answer

Re,
               On peut aussi utiliser Virtumundobegone pour supprimer le fichier:

C:\WINDOWS\system32\urqRhFyW.dll 

                Il a les lignes 02 et 020 : exactement la specialite du logiciel.

Lyonnais92 · Answer

Re,

ça c'est une bonne réponse : O2 et O20 = virtumundobegone et ça marche.

Sinoin, contre Vundo, le bon outil actuel c'est Malwarebytes' Anti-Malware (MBAM) :

- il éradique toute l'infection

- il est un excellent antispy à faire conserver et utiliser régulièrement..

raphy00 · Answer

Re, 
           Bon.. et a part ca .... Le post 33, qu'en penses tu?

raphy00 · Answer

Re,

         Peut on essayer un autre test ? A mon avis il m'en faut avant d'avoir 20 / 20.

Merci de ton aide et ta patience!

Lyonnais92 · Answer

Bonsoir,

https://www.bleepingcomputer.com/startups/crypts.dll-21047.html

https://www.symantec.com?uid=7ca7569a-c0aa-40b2-b20f-4e3a6b9ddb40

raphy00 · Answer

Re, 
          Interessants les sites, a avoir dans les favoris.
Merci!

raphy00 · Answer

Re,

       Desole de t'importuner tout le temps, mais cette fois ci j'aimerais apprendre a analyser un rapport combofix. Comment fais t on ? C'est quoi Find32M etc... ? Merci de ta patience !

Des explications !!! - Page 2

Discussions similaires

Newsletters