Analyse de log hijackthis

kundun75 · Juillet 13, 2009, 10:15

Bonjour a tous,

Suite a un probleme assez lourd survenu cette nuit, et etant dans l’impossibilite de faire une reinstal complete du systeme dans l’immediat y aurait-il une bonne ame pour analyser ce log hijackthis ? Je vous remercie par avance bien chaleureusement pour votre aide :bounce:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:46, on 14/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CA\eTrustITM\realmon.exe
C:\Program Files\CA\SharedComponents\JRE\1.5.0_04\bin\jusched.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
C:\Program Files\CA\SharedComponents\ThirdParty\Tomcat\5.5\Bin\Tomcat5.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\CA\SharedComponents\iTechnology\igateway.exe
C:\Program Files\CA\eTrustITM\InoNmSrv.exe
C:\Program Files\CA\eTrustITM\InoRpc.exe
C:\Program Files\CA\eTrustITM\InoRT.exe
C:\Program Files\CA\eTrustITM\InoTask.exe
C:\Program Files\CA\eTrustITM\inoweb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\rsvp.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\SOFTS\Maintien du Systeme - Antivirus - Antispyware\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Realtime Monitor] “C:\Program Files\CA\eTrustITM\realmon.exe” -s
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\CA\SharedComponents\JRE\1.5.0_04\bin\jusched.exe
O4 - HKCU…\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com…
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Apache Tomcat Application Server (ApacheTomcatApplicationServer) - Apache Software Foundation - C:\Program Files\CA\SharedComponents\ThirdParty\Tomcat\5.5\Bin\Tomcat5.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM Server Service (InoNmSrv) - Computer Associates International, Inc. - C:\Program Files\CA\eTrustITM\InoNmSrv.exe
O23 - Service: Service RPC eTrust ITM (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrustITM\InoRpc.exe
O23 - Service: Service en temps réel eTrust ITM (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrustITM\InoRT.exe
O23 - Service: Service des jobs eTrust ITM (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrustITM\InoTask.exe
O23 - Service: eTrust ITM Web Access Service (InoWeb) - Computer Associates International, Inc. - C:\Program Files\CA\eTrustITM\inoweb.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

–
End of file - 6368 bytes

cricri58 · Juillet 14, 2009, 12:18

Salut

rien de méchant dans ton Log

1)désactive la TeaTimer de Spybot qui ne sert à rien !
Afficher d’abord le Mode Avancé dans Spybot
==>Options Avancées :
==>menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
==>cliquer sur Outils,
=>cliquer sur Résident,

==>Dans Résident :
==>décocher Résident “TeaTimer” pour le désactiver.

2)télécharges cet Utlitaire ==>FileHippo

==>FileHippo

installes et aprés analyse il te dira lesquels de tes logiciels qui ne ont pas à jour et le chemin pour le faire(Explorer.etc…)

Lances Hijackthis

Cliques sur==> Do a System Scan Only

coches ces Lignes

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - download.bitdefender.com…

Fermes tes autres applications sauf Hijackthis bien sûr==> et Cliques sur Fix Checked

supprimes l’antivirus en ligne(BitDefender Online Scanner v8) de ton PC?

Dans Explorer==>Ouvres le menu Outils et cliques sur Uninstall BitDefender Online Scanner v8. Redémarres Internet Explorer

Je ne peux que te conseillé d utiliser FireFox ou Opéra pour Naviguer

Firefox 3.5 ==>Firefox 3.5

kundun75 · Juillet 14, 2009, 11:31

Bonjour Cricri,

Tout d’abord, merci beaucoup pour une reponse aussi rapide et aussi detaillee.

Un ou deux trucs me chiffonnent encore. Je t’explique :

Le probleme assez lourd dont je parlais etait un hack sur mon compte World of Warcraft (je sais personne n’est parfait…). Le hack en lui meme m’a alerte sur la confiance en la securtie de mon systeme qui avait deja pris un bon coup la semaine derniere suite a une infection “inevitable”. En effet, je vis en Inde depuis 6 mois et je ne te cache pas que les cles usb morflent a mort ; les systemes sont veroles dans tous les sens ici et je suis bien oblige de me connecter a d’autres systemes pour bosser.

Perso, j’utilise Norton Ghost depuis l’instal initiale, ce qui m’a toujours permis une maintenance quasi-parfaite depuis des annees (merci Manfox pour ton expertise a l’instal ). Mais bon voila, de l’inattention, beaucoup de flemme et le mal est fait :ane:

Ce hack m’a donc fait reagir, et suite a un bitdef scan online, j’ai decouvert 3 trojans dont un qui empechait la maj de mon antivirus… j’ai suppose que mon hack venait de la.

J’ai donc recharge mon image en supposant qu’elle etait infectee. Le online scan n’a rien trouve. J’ai donc reinstal l’antivirus (CA etrust admin server) et resave en lancant diverses analyses.

Avant de lire ton post, j’ai consulte le resultat de l’analyse complete et il m’a trouve une infection (Amalum de memoire)

Est-il normal que hijackthis n’ait rien trouve? (j’imagine que oui)

En effectuant les manip sur hijackthis, ces deux lignes n’apparaissaient plus dans la liste :

O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

Qu’en penses-tu?

(Desole d’avoir un peu flood, c’etait juste pour poser le contexte :jap: )

Merci par avance de tes posts qui nous sont tres precieux, a nous les gros noobs parmi les noobs

Kundun

cricri58 · Juillet 14, 2009, 11:50

Salut

Je pense que Bitdefender Online scanner a fais son Boulot et supprimer ces Trojans

pour les deux lignes fixées t inquiéte

Fais quand même ceci

1)télécharges --> Malwarebytes (mbam)

==>Malwareytes

installes + mise a jour

Connectes les supports amovibles (clés usb etc.) avant de lancer l’analyse

et ensuite

Redémarre en “Mode sans échec”

tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

Connectes les supports amovibles (clés usb etc.) avant de lancer l’analyse

Lances–> Malwarebytes (MBAM)

Puis vas dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
Sélectionnes tes disques durs" puis clique sur “Lancer lexamen”
A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés --> IMPORTANT cliques sur Supprimer la sélection–>a faire
S’il t’ es demandé de redémarrer, clique sur "oui "

aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici

aprés

Télécharges ==>GenProc
–> sur le bureau

==>GenProc

–> Décompresse le sur le bureau
–>Ouvre le dossier créé et lance GenProc.bat(double-cliquer UNE SEULE FOIS sur le fichier GenProc.bat)
->le rapport s’affiche en très peu de temps, c’est normal.

tu repondras oui a ce message==>
–>Tu obtiendras alors un rapport ==> fais un copié/collé ici
et pour terminer

Télécharge Random’s System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

==>Random’s System Information Tool (RSIT)

==> Double-clique sur RSIT.exe afin de lancer RSIT.
==> Clique sur Continue à l’écran Disclaimer.
==> Si l’outil HijackThis (version à jour) n’est pas présent ou non détecté sur l’ordinateur, RSIT le téléchargera et tu devras accepter la licence.
==>Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront.

==> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

kundun75 · Juillet 16, 2009, 1:19

Cricri,

Je suis carrement sous l’eau pour une bonne quinzaine pour des raisons de business, et je tacherais de terminer toutes ces procedures des que j’aurais plus de temps. Je reviednrais vers toi a ce moment la pour te donner les resultats.

Il semble pour le moment que tout soit normal, mais il faut absolument que je refasse les procedures donnees dans ton premier post en ayant pris soin de recharger mon image ghost pour ensuite avoir l’esprit tranquille dans l’application des autres procedures donnees.
Elles me sont tres precieuses afin de securiser les connexions recurrentes de mes cles usb. En gros il faut que je mette en place une analyse antivirale et anti spy/malware a chaque connexion de ces cles.

Merci beaucoup et a tres bientot.

Kundun