Interprétation rapport hijackthis

Bonjour,

Ayant quelques soucis de pc en ce moment, je pense être infecté. J'ai fait différentes analyses, spybot (qui m'a trouvé je ne sais plus quoi mais que j'ai supprimé), avast rien, kaspersky en ligne rien, avg rien. J'ai fait un nettoyage de disque, une vérification du disque et toujours rien. Ne sachant interprété hijackthis, je vous poste le rapport. Je l'ai fait en mode normal.

Merci

hijackthis.log



(Modifié par ty_jen le 20-07-2008 à 13:33)

(Modifié par ty_jen le 20-07-2008 à 13:34)

slt

oui tu es infecté !

relance hijackthis et coche ces lignes la :

O4 - HKUS\S-1-5-18\..\Run: [Internet Explorer Security] iexplore.pif (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [Internet Explorer Security] iexplore.pif (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Internet Explorer Security] iexplore.pif (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [Internet Explorer Security] iexplore.pif (User 'Default user')

et ensuite tu clic sur fix checked !

telecharge /installe Malwarebytes

ensuite lance l'application , fait une mise à jour si il en existe une et ensuite fait un san !

(Modifié par tonic02 le 20-07-2008 à 14:08)

Dac ben déjà merci pour ta réponse.

Donc j'ai fixé ce que tu m as dit et je les ai supprimé. J'ai téléchargé malware (sans faire la mise à jour car j'ai des soucis internet également...)et en faisant une analyse complète, il m'a trouvé "addon.dat". Je l'ai donc supprimé et je te reposte un nouveau rapport hijackthis.

http://up.sur-la-toile.com/igUt

Merci

J'oubliais, quand j'ai supprimé addon.dat, spybot m'a demandé si j'acceptais la modif d'une valeur pour SCR extension handler. J'ai refusé et par la même occasion, j'ai désactivé le teatimer de spybot.

(Modifié par ty_jen le 20-07-2008 à 16:24)

Salut, faire ça:

Télécharger et enregistrer sur le bureau Combofix

=> Désactive l'antivirus
=> Double-clic sur Combofix
=> Presser 1 quand demandé
=> Attendre la fermeture de l’outil ( 5 à 10 mn)
=> Copier/coller le rapport dans la réponse
=> Un rapport dans C:\Combofix.txt à mettre dans la réponse
=> Qoobox dans C:\ à supprimer

Alors voici les différentes éléments:

ComboFix 08-07-19.1 - bip bidule 2008-07-20 17:47:51.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.119 [GMT 2:00]
Endroit: C:\Documents and Settings\bip bidule\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\bip bidule\Application Data\addon.dat
C:\Documents and Settings\bip bidule\Application Data\inst.exe
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MAPI


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-20 to 2008-07-20 ))))))))))))))))))))))))))))))))))))
.

2008-07-20 16:42 . 2008-07-18 19:15 36,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-20 15:25 . 2008-07-20 16:42 <REP> d-------- C:\Program Files\Malwarebytes
2008-07-20 15:25 . 2008-07-20 15:25 <REP> d-------- C:\Documents and Settings\bip bidule\Application Data\Malwarebytes
2008-07-20 15:25 . 2008-07-20 15:25 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes
2008-07-20 15:25 . 2008-07-18 19:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-20 12:54 . 2008-07-20 12:54 <REP> d--h----- C:\WINDOWS\system32\updating
2008-07-13 14:35 . 2008-07-20 17:58 923,680 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-13 14:35 . 2008-07-20 17:52 11,852 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-13 14:30 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-07-13 14:30 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-07-13 14:30 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-07-13 14:30 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-07-13 14:30 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-07-13 14:29 . 2008-07-13 14:29 <REP> d-------- C:\Program Files\Zone Labs
2008-07-01 13:49 . 2008-07-12 13:24 21 --a------ C:\WINDOWS\Status.mif
2008-06-25 11:45 . 2008-06-25 11:45 14 --a------ C:\WINDOWS\system32\ANIWZCSUSERNAME{7A3E5D41-E078-4A18-BA44-8704F3DFF34B}
2008-06-20 19:41 . 2008-06-20 19:41 247,808 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 14:47 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-07-20 11:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 10:44 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft Help
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-01 12:06 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\ma-config.com
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-08 16:13 --------- d-----w C:\Program Files\Realtek AC97
2008-06-08 16:10 --------- d-----w C:\Program Files\Realtek
2008-06-08 16:10 --------- d-----w C:\Documents and Settings\bip bidule\Application Data\InstallShield
2008-06-08 15:53 --------- d-----w C:\Program Files\PC Wizard 2008
2008-06-03 08:59 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-02 09:28 --------- d-----w C:\Documents and Settings\bip bidule\Application Data\PEERNET
2008-06-02 09:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\PEERNET
2008-05-30 18:22 --------- d-----w C:\Program Files\EasyPHP 2.0b1
2008-05-29 16:09 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-21 16:19 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\InstallShield
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-08 15:38 94,208 -c--a-w C:\Documents and Settings\bip bidule\Application Data\ezplay.sys
2008-02-08 15:38 47,360 -c--a-w C:\Documents and Settings\bip bidule\Application Data\pcouffin.sys
2006-09-14 17:49 81,920 -c--a-w C:\Documents and Settings\bip bidule\Application Data\ezpinst.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-06-25 15:58 1209584]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NECMFK"="C:\Program Files\necmfk\necmfk.exe" [2004-01-23 14:41 62976]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^bip bidule^Menu Démarrer^Programmes^Démarrage^Anti-Pub.lnk]
path=C:\Documents and Settings\bip bidule\Menu Démarrer\Programmes\Démarrage\Anti-Pub.lnk
backup=C:\WINDOWS\pss\Anti-Pub.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a--c--- 2004-08-20 01:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:48 57344 C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
--a------ 2003-07-30 09:08 143360 C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2007-05-15 00:22 35328 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-02-11 10:35 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\system32\\ccapp.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R1 MFKGTKEY;MFKGTKEY;C:\WINDOWS\system32\drivers\mfkgtkey.sys [2003-12-03 10:48]
R1 Ps2LedIF;Ps2LedIF;C:\WINDOWS\system32\drivers\ps2ledif.sys [2003-01-10 16:39]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R3 Ps2Led;NEC Note Keyboard with One-touch start buttons;C:\WINDOWS\system32\DRIVERS\Ps2Led.sys [2004-01-21 21:58]
R3 wlask48d;802.11b WLAN PC Card Service;C:\WINDOWS\system32\DRIVERS\wlask48d.sys [2004-01-06 14:33]
S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\system32\DRIVERS\MRVW225.sys [2007-05-11 16:36]
S3 nenum13E;nenum13E;C:\DOCUME~1\JENNIF~1\LOCALS~1\Temp\nenum13E.sys []
S3 PID_0920;Labtec WebCam(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS []
S4 netinfo;netinfo;C:\WINDOWS\netinfo.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7E391C66-844C-D2A9-EC12-95EC44BF8228}]
C:\WINDOWS\system32\updating\update.exe s
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 17:55:03
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\updating\update.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-20 18:01:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-20 16:01:13

Pre-Run: 20,081,774,592 octets libres
Post-Run: 19,998,724,096 octets libres

165 --- E O F --- 2008-07-11 10:44:19



ComboFix.txt

Voilou

Refais un rapport Hijack

Voici un nouveau rapport hijackthis:

http://up.sur-la-toile.com/igVw

En tout cas merci bien!

Encore des souci?

Ben écoute là je viens de virer trois trojans....m'enfin j'ai aussi passé mon dd externe pendant que j'y étais donc bon. Enfin autant j'ai jamais eu de gros soucis sur mon pc qu'en ce moment waouh, y'a trois jours je me suis faite bombardée de trojans donc pi être ça.

A priori ça semble quand même être mieux même si je perds toujours ma connexion internet alors est ce ça ou autre chose je sais pas je vais voir.

En tout cas merci de votre aide car moi hijactkthis...

Sinon autre question, les logiciels que vous m'avez conseillé d'utiliser peuvent ils être utilisés à la place de spybot? Car avec spybot ça semble être passé à travers, tout comme avg d'ailleurs...

Merci

Supprime les logiciels utiliser pour la désinfections, pour l'anti spyware/malware, je te conseille Malwarebyte's