Rapport de scan hijack

Needafriend -  
 gen-hackman -
Bonjour,
J'aurais besoin d'un petit coup de main pr déchiffrer ce rapport car je pense que je suis infecté par un virus win32. Quand je fais un scan avast, il ne me trouve rien et pareil avec spyware doctor. J'attends votre aide avec impatience, et merci d'avance.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:38, on 20/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\lvcomsx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spyware Doctor\TFEngine\TFService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rsvp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?client=firefox-a&rls=org.mozilla:fr:official&gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDF4EBC-D50E-4DA5-B537-BC39508F3E30}: NameServer = 213.36.80.1,192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\Spyware Doctor\TFEngine\TFService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6152 bytes
Configuration: Windows XP
Firefox 3.0.4

13 réponses

  1. gen-hackman
     
    et bien moi je pense que ton pc va tres bien.....tu peux essayer ceci par securite :

    http://lesservices.fnac.com/scan8/ie.html

    Acceptes et fais toi scanner puis envoie le rapport obtenu
    0
  2. caiman2 Messages postés 1489 Statut Membre 313
     
    Je confirme on ne voit rien d'anormal dans ce log hijackthis.

    0
  3. gen-hackman
     
    O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

    arretez de telecharger et d installer n'importe quoi !!................;lol
    0
  4. Needafriend
     
    Petite précision: en fait j'ai réinstallé avast car ca faisait 3 jours qu'il ne me faisait plus aucune mise à jour, avast m'a donc proposé de faire un scan au redémarrage et c'est là qu'il m'a dit qu'il avait trouvé un agent win32 trj sur winrar. Quand il m'a demandé ce que je voulais faire, j'ai cliqué sur "supprimer" et apparemment il l'aurait fait mais je voudrais savoir si je suis débarassé de ce truc là. Merki
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    et bien rends toi sur ce site et et fais toi parcourir jusqu'au dossier et "Envoyer le fichier"

    https://www.virustotal.com/gui/
    0
    1. Needafriend
       
      désolé mais j'ai pas tout compris, je suis un peu débutant ds l'informatique quand meme. En fait j'ai cliqué sur ton lien mais je dois analyser quoi au juste? Merci de ta patience
      0
  7. Needafriend
     
    Merci pour ta réponse gen-hackman. J'ai cliqué sur ton lien, et je n'ai pas pu faire l'analyse en ligne car j'ai désinstallé internet explorer il y a qq jours déjà mais je ne m'en suis pas inquiété car il me reste modzilla pour accéder à internet. Je viens donc d'essayer de le réinstaller mais il me demande 150euros, somme que je ne peux pas payer. Y aurait il un autre moyen que de passer par internet explorer?
    Merci beaucoup
    0
  8. gen-hackman
     
    clique droit sur le lien / proprietes et tu copies colles l'adresse dans la barre d'adresse d'une page de mozilla
    0
    1. Needafriend
       
      le copié-collé est une manoeuvre que je maitrise un minimum, en fait ca j'avais compris mais c'est quand j'arrive sur le site que je ne sais plus quoi faire
      0
  9. gen-hackman
     
    et bien il y a un bouton au milieu disant " Parcourir " et bien tu parcours ton pc jusqu'au fichier a scanner en l occurence :

    C:\Program Files\WinRAR--
    La vraie musique :
    Marillion........Fish.......Steve Rothery..................
    Pink Floyd.........David Gilmour.............Richard Wright..................Peace to him................
                                                                                                       -----g3n-h@ckm@n-----
         
    0
    1. Needafriend
       
      MD5: 39a474f44a1b9a4a9f077a7b9362eba0
      First received: 2007.06.07 11:49:31 (CET)
      Date 2008.09.19 00:39:25 (CET) [>62D]
      Résultats 3/35
      Permalink: analisis/699fe9369e315f976dfdaaca8ae7a676
      voilà j'ai fait ce que tu m'as demandé et voilà le rapport qu'il me donne, merci beaucoup
      0
      1. Needafriend > Needafriend
         
        Désolé, jsuis vraiment une bugne voilà le vrai bon rapport:
        AhnLab-V3 - - -
        AntiVir - - -
        Authentium - - -
        Avast - - -
        AVG - - -
        BitDefender - - -
        CAT-QuickHeal - - -
        ClamAV - - -
        DrWeb - - -
        eSafe - - Win32.Agent.efw
        eTrust-Vet - - -
        Ewido - - -
        F-Prot - - -
        F-Secure - - Suspicious:W32/Perfloger.o!Gemini
        Fortinet - - -
        GData - - -
        Ikarus - - -
        K7AntiVirus - - -
        Kaspersky - - -
        McAfee - - -
        Microsoft - - -
        NOD32v2 - - -
        Norman - - -
        Panda - - -
        PCTools - - -
        Prevx1 - - Suspicious
        Rising - - -
        Sophos - - -
        Sunbelt - - -
        Symantec - - -
        TheHacker - - -
        TrendMicro - - -
        ViRobot - - -
        VirusBuster - - -
        Webwasher-Gateway - - -
        Information additionnelle
        MD5: 39a474f44a1b9a4a9f077a7b9362eba0
        SHA1: 35238c2cb36454376d140aaeacc4dba2097eb2e0
        SHA256: b6e5181fb3463b3ade92bc54e1fc521112ad50cb2860ab0706bd14044676d236
        SHA512: 784fb3bc322a41401d0411ef19d9a73dcea973128707c63a4ebd4e62f2cf7694d2cbe5c60f2edace522d62f536b865fb14a7d1c736fccf72aa1d6f99c048d1e1
        0
  10. gen-hackman
     
    Impossible !!
    0
    1. Needafriend
       
      euh comment ca impossible?!
      0
  11. gen-hackman
     
    non j avais repondu entre temps......laisse tomber......

    bof ............;non tout va bien......
    0
    1. Needafriend
       
      Euh excuse-moi une toute dernière fois: c'est normal les lignes où c'est écrit "Win32.Agent.efw, Suspicious:W32/Perfloger.o!Gemini et Suspicious"?
      0
    2. Needafriend
       
      j'ai un peu abusé, je ne remets pas en cause tes capacités et connaissances avec ma ddernière question mais comme j'ai encore vu les noms win32 et "suspicious", je me suis demandé quoi quand meme. Je te remercie beaucoup pour ta précieuse aide et ca rassure vraiment de voir que si l'on a un soucis on peut compter sur des gens comme toi et tout les autres qui font la meme sur le site. Merci merci merci
      0
  12. gen-hackman
     
    je ne remets pas en cause tes capacités et connaissances avec ma ddernière question
    rassure toi mais je ne l ai pas mal pris......lol

    mais tu n es pas seul et je ne peux repondre a 50 messages en meme temps......sans eviter de conseiller n'importe quoi, de par le fait,mieux vaut une reponse longue et precise que..........
    0
    1. Needafriend
       
      Ok pas de soucis, je me doutais que vous deviez aider pas mal de personnes en même temps mais je pense que j'ai sous-estimé ce nombre. En tout cas merci encore et bonne continuation!
      0
  13. Needafriend
     
    Juste comment je fais pour marquer que cette question a été résolue?
    0