hijack this !!! Résolu

Question

Bonjour,

J'ai un spyware et je n'arrive pas à l'enlever aprés plusieurs tentatives avec different antispy  (spybot, spyware terminator, ...)

voici le rapport de hijack pouvez me dire la suite svp




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:06, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\NetDrive\wdService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\EzButton\CPLDBL10.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BMe75b6636] Rundll32.exe "C:\WINDOWS\system32\pkqtcygd.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Program Files\NetDrive\wdService.exe

jorginho67 · Accepted Answer

Salut !

Tu est surement infecté par Vundo...

Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau !

noirci le texte a l'aide de ta souris, puis clic droit > copier!
fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte
colles le texte dans le blocnotes !
laisse le sur le bureau .

# Télécharge Malwarebytes' Anti-malware << ici

enregistre le sur ton bureau

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

# Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

# Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

# A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. <--- NE PAS OUBLIER DE LE FAIRE SOUS PEINE DE RECOMMENCER LE SCAN !!!

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.

Poste le rapport ici dans ta prochaine réponse stp !
(Merci Lyonnais)

TUTO D'UTILISATION

@+

jorginho67 · Answer

Bien, le pc a redémarré ?  Tu l'as redémarré ?

Les infections seront éffacées avec un redémarrage...

Il faut  renommer Hijackthis.


Fais un clic droit sur  l'icone Hijackthis
http://www.cijoint.fr/cjlink.php?file=cj200803/cij5499182416009.jpg
Clic droit > choisis "renommer" marque (tu écris) : ccm.exe
http://www.cijoint.fr/cjlink.php?file=cj200803/cij7468165006040.jpg
( ou : Clic droit sur démarrer > clic explorer > c:\ > program files > double clic sur " Trend micro " 
> clic droit sur Hijack > renommer > et nomme  ccm ) !

Poste moi un nouveau log après avoir renommé HJT's !
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport 

Pourquoi renommer Hijackthis ?
Parce que certaines infections Vundo ont la particularité de se "cacher" à la
détection de HJT proprement dite ou à son analyse .
la modification du nom de l'exe pallie ce problème...

Je vais me coucher, je serais de retour vers 17 h demain !

@+

jorginho67 · Answer

Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous ( qui sont inutiles au lancement du pc ) et clic en bas sur "fix checked".

O2 - BHO: (no name) - {1A6E01AD-6394-4EE0-9F54-78F7AAFCB0AE} - (no file) 
O2 - BHO: {6bf68d9e-7ca9-421b-11f4-ca8644a3ae65} - {56ea3a44-68ac-4f11-b124-9ac7e9d86fb6} - C:\WINDOWS\system32\sjkfayny.dll
O2 - BHO: (no name) - {7476abac-5fc9-48a5-a11c-3b98a7f992f2} - (no file)
O2 - BHO: (no name) - {97B49A58-B119-46EE-99D7-E528DECC970F} - (no file)
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - (no file)
O2 - BHO: (no name) - {FC7F48C9-7688-4E85-976A-8FB58BE4BD9B} - C:\WINDOWS\system32\qoMcbXpn.dll (file missing) 
O20 - Winlogon Notify: cbXPgHBU - C:\WINDOWS\ 

tuto en images

Ferme  Hijackthis.


J'ai toujours des problemes avec iexplorer mais moins qu'avant......

Un conseil :

Essaye le navigateur Firefox plus sur/sécurisé qu IE
Firefox n utilise pas le dangereux protocole ActiveX
TutoriEl pour le sécuriser


Ta version IE n'est pas à jour  Grosse faille de sécurité !!!
Internet Explorer v6.00 SP2 (6.00.2900.2180)
On en est a la 07

la Mise à Jour <---  ICI

Pourquoi faire la MàJ ?

Quand tu auras fais ces MàJ, reposte un dernier Hijackthis.

jorginho67 · Answer

Bien, c'est tout bon...

C:\Program Files\EzButton\CPLDBL10.EXE  tu sais ce que c'est ?

Pour nettoyer les outils téléchargés pendant cette désinfection qui ne te serviront plus,( HJT etc...)  vu qu'ils sont mis a jour régulierement, il vaut mieux les télécharger en cas de besoin au dernier moment .......:

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

Double-clique sur ToolsCleaner2.exe et 
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
# Ton Bureau va disparaître. Ceci est normal.
# S'il ne réapparait pas, fais ceci : CTRL+ALT+SUP pour faire apparaître le gestionnaire de tâches.
Rends-toi à l'onglet Processus, clique en haut à gauche sur "Fichiers" et choisis "Exécuter". 
Tape "explorer" et valide. Cela te fera ré-apparaître ton Bureau.

Tu peux, et dois te servir des Options facultatives.
- Point de Restauration.
- Corbeille. ------------------------------------------------> a faire !
- Nettoyage des fichiers Temporaires.------------------------> a faire !
Clique sur quitter, pour que le rapport puisse se créer.

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.
  Il se trouve a la racine du disque C:\TCleaner.txt

jorginho67 · Answer

Voici quelques conseils....

Tu pourras utiliser ToolsCleaner de temps en temps pour nettoyer la corbeille, etc...etc ...!

*. Maintenant que ton ordinateur est propre je te conseille de créer un point de restauration sain, comme ça en cas de probleme (plantage ..ect) tu pourras toujours revenir en arriere
Désactive ta "Restauration du système" puis réactive la.

(1) Désactivation
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer . patiente jusqu a que cela soit marqué "désactivée" puis Ok.

(2) Activation
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer. attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur !
------------------------------------------------------------------------------------------------------------
*.Rétablir l'affichage des dossiers:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Options des dossiers, onglet Affichage :
Activer l'option : Ne pas afficher les fichiers et dossiers cachés
Activer l'option : Masquer les fichiers protégés du système d'exploitation
Laisser désactivé : Masquer les extensions des fichiers dont le type est connu
------------------------------------------------------------------------------------------------------------

==================== * Prends le temps de lire ceci ! * ===================

La meilleur protection reste une connaissance minimale des infections et leurs méthodes de propagation.

Securiser son ordinateur et connaître les menaces
Comment je me fais infecter ( merci Malekal )

Conseils de base pour surfer avec un max de sécurité

*. Utiliser le navigateur Mozzilla plus sur que IE7

POURQUOI ? Lire Attentivement ceci
Tutoriel pour le sécuriser

*. Vérifie les mises a jours des différents softs régulièrement ici https://www.flexera.com/products/operations/software-vulnerability-management.html
Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
Pour java il faut désinstaller les anciennes versions (de java) via panneau de config / ajouts et suppression de programme

*. Ne pas telecharger n'importe quoi, eviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games ...ect

*. Toujours analyser les fichiers telechargés depuis un peer to peer (emule ,Shareaza, kazza ... ect) avant de les executer
Un peu de lecture à ce sujet

*. Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser</gras> avant de les ouvrir

*. Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus

*. MSN PREVENTION
----------------------------------------------------------------------------------------------------------------
*. Passe regulierement un antispywares, un seul, pas la peine d'en avoir plusieurs...
Pense a les mettre a jour avant de les lancer c'est tres important

*. Malwarebytes' Anti-malware << ici
Comment m'utiliser

*. AVG Anti-Spyware 7.5.1
tuto de mise en oeuvre

*. A squared
Comment m'utiliser

*. Spybot S&D 1.5..
Comment m'utiliser
-----------------------------------------------------------------------------------------------------------------

*. Supprime regulierement les fichiers inutiles (fichiers temporaires , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/

*. CCleaner 2.04.543 > http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

*. Nettoie ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/

*. RegCleaner 4.3.0.780 >http://www.commentcamarche.net/telecharger/telecharger 171 regcleaner
------------------------------------------------------------------------------------------------------------------
Il est possible de temps en temps de supprimer le contenu du dossier c/windows/prefetch pour accelerer le demarrage de windows , mais seulement le contenu non le dossier...
VIDE le !!!

- Clique sur l'icône Poste de travail
- Sélectionne le disque c:\
- Positionne toi dans le dossier c:\Windows\Prefetch
- Sélectionne le Menu Edition, Sélectionner tout
- Appuie sur le touche Suppr du clavier afin de vider ce dossier
-------------------------------------------------------------------------------------------------------------------
Le dossier Temporary Internet Files contient les pages Web enregistrées sur votre disque dur pour une visualisation rapide.
Ce dossier permet à Internet Explorer ou à MSN Explorer de télécharger uniquement le contenu qui a changé depuis votre dernière consultation de page Web, au lieu de télécharger tout le contenu d'une page à chaque affichage.
Pour supprimer les fichiers contenus dans le dossier Temporary Internet Files, suit ces étapes :
- Ferme Internet Explorer et toutes les instances de l'Explorateur Windows.
- Clique sur Démarrer, sur Panneau de configuration, puis double-clique sur Options Internet.
- Sous l'onglet Général, clique sur Supprimer les fichiers dans la zone Fichiers Internet temporaires.
- Active la case à cocher Supprimer tout le contenu hors connexion dans la zone Supprimer les fichiers, puis clique sur OK.
- Clique sur OK.
-------------------------------------------------------------------------------------------------------------------
*. Pense a défragmenter ton Disque Dur au moins une fois par mois !
faire ?
--------------------------------------------------------------------------------------------------------------------
Encore un peu de lecture : sécuriser son pc et connaitre les menaces

Je met ce topic en résolu si tu n'as plus de soucis...

Tu pourras éventuellement revenir si besoin est.

Merci et bon surf !

Jo.

Hijack this !!!

5 réponses

Votre réponse

Discussions similaires

Newsletters