[OK] HiJackThis ne se lance pas

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] HiJackThis ne se lance pas

Messagede sergeK » 10 Nov 2008, 17:08

Bonjour,

J'essaie actuellement de décontaminer une machine (P3 à 1GHz) sous XP-PRO SP2.
Je suis pour cela la PAD, j'ai importé HJT v 2.0.2 au moyen d'un CDRom mais lorsque je le lance, je ne vois rien et ne trouve pas non plus de fichier qui pourrait ressembler au rapport que l'on est sensé obtenir. Je suis bien sur un compte utilisateur avec droits admin, et HJT est bien vu comme une application par le système.
Que puis-je faire?

Quelques infos au cas ou ça pourrait aider:

# fenêtre à l'ouverture de session
A l'ouverture d'une session, on obtient une fenêtre de Windows Installer qui dit
Code: Tout sélectionner
Le composant que vous essayez d'utiliser se trouve sur une ressource réseau non disponible.

La ressource en question est le package d'installation "Install_{BADF6744-3787-48F6-B8C9-4C4995401D65}" La sélection d'un chemin de recherche alternatif est proposé.
Après fermeture de cette fenêtre avec "Annuler" Windows Live Messenger s'ouvre.

# popup icone
Une popup dans la barre d'icônes en bas à droite (X blanc sur rond rouge) ploppe régulièrement
Code: Tout sélectionner
Your computer in infected!

Windows has detected spyware infection!

It si recomended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you.
Clic here to protect your computer from spyware!


# comptes utilisateurs
Le seul compte proposé pour l'ouverture de session est nommé "test". Il est admin du système. C'est le compte utilisé au quotidien par l'utilisateur.
Le compte invité est désactivé.
Un autre compte nommé "ASP.NET Machine A ..." est présent dans la liste des comptes depuis le gestionnaire d'utilisateurs. C'est un compte limité protégé par mot de passe.


merci, et @+
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede nickW » 10 Nov 2008, 22:48

Bonsoir,


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


1/ Essayer de renommer HijackThis.exe en trucbidule.exe (ou machinchose.exe, ou .....).



2/ Utiliser un autre outil qui créera des logs détaillés:

Étape 1: OTListIt (de OldTimer), téléchargement
Télécharger OTListIt.exe depuis http://oldtimer.geekstogo.com/OTListIt.exe
Enregistrer ce fichier sur le Bureau.

Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur OTListIt.exe pour lancer l'outil.

Cocher la case située devant Scan All Users.
Cliquer sur le bouton Run Scan et laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant l'un des deux rapports.
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTListIt.

Étape 2: Résultats
Envoyer en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les deux rapports de OTListIt (contenu des fichiers OTListIt.txt et Extras.txt situés sur le Bureau).



3/ Utiliser SmitfraudFix Option 1

Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: SmitFraudFix (de S!ri), option 1: Recherche

Note préliminaire importante:
SmitFraudFix est détecté par certains antivirus comme étant un RiskTool (outil à risque).
Ceci est exact puisque certains de ses composants, s'ils étaient mis entre de mauvaises mains, pourraient effectuer des actions dangereuses.
Dans le cas de SmitFraudFix, il faut les laisser s'exécuter, et, si nécessaire, désactiver temporairement les programmes de protection en temps réel (lors du téléchargement et de l'exécution de l'outil).
Par exemple, il est indispensable d'arrêter la protection en temps réel d'Avira Antivir.


Télécharger SmitFraudFix depuis http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou http://siri.geekstogo.com/SmitfraudFix.exe
Enregistrer ce fichier sur le Bureau.

Faire un double clic sur SmitfraudFix.exe pour lancer l'outil.
Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.


Étape 3: Résultat
Envoyer en réponse le rapport de SmitFraudFix (contenu du fichier SystemDrive\rapport.txt) ainsi qu'un nouveau log HijackThis.
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Note importante:
Si ce rapport de SmitFraudFix contient des dizaines de lignes commençant par "127.0.0.1", il ne faut pas toutes les envoyer sur le forum.
Il ne faut envoyer que les 15 premières lignes commençant par "127.0.0.1" avec le reste du log.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 11 Nov 2008, 01:11

Bonsoir nickW, et merci de ton aide. :)

En renommant simplement HJT ça fonctionne, j'ai donc utilisé celui-ci pour créer le rapport initial et un rapport final que tu trouveras dans un post séparé ci-dessous.

Par contre, j'ai cafouillé en voulant me référer aussi à la PAD, dans l'élan j'ai exécuté aussi le nettoyage de SmitFraudFix. :oops:
Je te joins donc les deux rapports de SFF, un après la recherche et l'autre après le nettoyage.

le HJT1.txt
Code: Tout sélectionner
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:02, on 10/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CbEvtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
C:\Program Files\Windows Live\Contr�le parental\fssui.exe
C:\PROGRA~1\ERREUR~1\ucookw.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\documents and settings\test\local settings\application data\wkmiwuu.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Test\Bureau\avtools_sergio\trucmuch.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [HerculesCamService] C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contr�le parental\fssui.exe" -autorun
O4 - HKLM\..\Run: [ErreurChasseur] C:\Program Files\ErreurChasseur\SysRep.exe
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\ERREUR~1\ucookw.exe" -start
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe" dm=http://erreurchasseur.com ad=http://erreurchasseur.com sd=http://repay.erreurchasseur.com
O4 - HKLM\..\Run: [Salestart(1)] "C:\Program Files\Fichiers communs\Nettordinateur\stm.exe" dm=http://nettordinateur.com ad=http://nettordinateur.com sd=http://paylogs.nettordinateur.com
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [wkmiwuu] "c:\documents and settings\test\local settings\application data\wkmiwuu.exe" wkmiwuu
O4 - HKCU\..\Run: [Systray] rundll32.exe sxmg4.dll,RunMain
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE R�SEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187110801296
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: ehhuyp - C:\WINDOWS\SYSTEM32\ehhuyp32.dll
O21 - SSODL: WebProxy - {A744F16C-B2D5-4138-81A2-085CDFCDE83A} - sxmg4.dll (file missing)
O23 - Service: CbEvtSvc - Unknown owner - C:\WINDOWS\System32\CbEvtSvc.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: psyche - Unknown owner - C:\WINDOWS\System32\psyche.exe
O23 - Service: PsycheEnqueue - Unknown owner - C:\WINDOWS\System32\PsycheEnqueue.exe

--
End of file - 6807 bytes
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede sergeK » 11 Nov 2008, 01:12

rapport SFF après recherche
Code: Tout sélectionner
SmitFraudFix v2.374

Rapport fait � 23:48:35,15, 10/11/2008
Execut� � partir de C:\Documents and Settings\Test\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du syst�me de fichiers est NTFS
Fix execut� en mode normal

������������������������ Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CbEvtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
C:\Program Files\Windows Live\Contr�le parental\fssui.exe
C:\PROGRA~1\ERREUR~1\ucookw.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\documents and settings\test\local settings\application data\wkmiwuu.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Test\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

������������������������ hosts


������������������������ C:\


������������������������ C:\WINDOWS

C:\WINDOWS\karna.dat PRESENT !

������������������������ C:\WINDOWS\system


������������������������ C:\WINDOWS\Web


������������������������ C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe PRESENT !
C:\WINDOWS\system32\CbEvtSvc.exe PRESENT !
C:\WINDOWS\system32\karna.dat PRESENT !

������������������������ C:\WINDOWS\system32\LogFiles


������������������������ C:\Documents and Settings\Test


������������������������ C:\DOCUME~1\Test\LOCALS~1\Temp


������������������������ C:\Documents and Settings\Test\Application Data


������������������������ Menu D�marrer


������������������������ C:\DOCUME~1\Test\Favoris


������������������������ Bureau


������������������������ C:\Program Files


������������������������ Cl�s corrompues


������������������������ El�ments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

������������������������ o4Patch
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



������������������������ IEDFix
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



������������������������ VACFix
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


������������������������ 404Fix
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


������������������������ Sharedtaskscheduler
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


������������������������ AppInit_DLLs
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


������������������������ Winlogon
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


������������������������ RK

C:\WINDOWS\system32\drivers\beep.sys infect� !


������������������������ DNS



������������������������ Recherche infection wininet.dll


������������������������ Fin
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede sergeK » 11 Nov 2008, 01:14

le rapport SFF après nettoyage
Code: Tout sélectionner
SmitFraudFix v2.374

Rapport fait �  0:02:07,50, 11/11/2008
Execut� � partir de C:\Documents and Settings\Test\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du syst�me de fichiers est NTFS
Fix execut� en mode sans echec

������������������������ SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

������������������������ Arret des processus


������������������������ hosts


127.0.0.1       localhost

������������������������ VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


������������������������ Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


������������������������ Generic Renos Fix

GenericRenosFix by S!Ri


������������������������ Suppression des fichiers infect�s

C:\WINDOWS\karna.dat supprim�
C:\WINDOWS\system32\brastk.exe supprim�
C:\WINDOWS\system32\CbEvtSvc.exe supprim�

������������������������ IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



������������������������ 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


������������������������ RK


������������������������ DNS



������������������������ Suppression Fichiers Temporaires


������������������������ Winlogon.System
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


������������������������ Nettoyage du registre
 
Nettoyage termin�.
 
������������������������ SharedTaskScheduler Apr�s SmitFraudFix
!!!Attention, les cl�s qui suivent ne sont pas forc�ment infect�es!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


������������������������ Reboot

C:\WINDOWS\system32\karna.dat Redemarrez et Executez SmitfraudFix option 2 encore une fois SVP.
 

������������������������ Fin

sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede sergeK » 11 Nov 2008, 01:15

rapport HJT final
Code: Tout sélectionner
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:34, on 11/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
C:\Program Files\Windows Live\Contr�le parental\fssui.exe
C:\PROGRA~1\ERREUR~1\ucookw.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\documents and settings\test\local settings\application data\wkmiwuu.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Test\Bureau\avtools_sergio\trucmuch.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [HerculesCamService] C:\Program Files\Hercules\Hercules DualPix HD Webcam\CamService.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contr�le parental\fssui.exe" -autorun
O4 - HKLM\..\Run: [ErreurChasseur] C:\Program Files\ErreurChasseur\SysRep.exe
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\ERREUR~1\ucookw.exe" -start
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe" dm=http://erreurchasseur.com ad=http://erreurchasseur.com sd=http://repay.erreurchasseur.com
O4 - HKLM\..\Run: [Salestart(1)] "C:\Program Files\Fichiers communs\Nettordinateur\stm.exe" dm=http://nettordinateur.com ad=http://nettordinateur.com sd=http://paylogs.nettordinateur.com
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Systray] rundll32.exe sxmg4.dll,RunMain
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE R�SEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187110801296
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: ehhuyp - C:\WINDOWS\SYSTEM32\ehhuyp32.dll
O21 - SSODL: WebProxy - {A744F16C-B2D5-4138-81A2-085CDFCDE83A} - sxmg4.dll (file missing)
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: psyche - Unknown owner - C:\WINDOWS\System32\psyche.exe
O23 - Service: PsycheEnqueue - Unknown owner - C:\WINDOWS\System32\PsycheEnqueue.exe

--
End of file - 6458 bytes



A l'issue de tout ceci, les problèmes évoqués initialement sont toujours présents, mais l'icône du Gestionnaire internet Orange qui restait grise auparavant est maintenant clignotante orange/gris. La fenêtre qui parle de ressource indisponible ne me propose plus de sélectionner un chemin alternatif, ce n'est plus qu'une boite d'information avec un bouton OK. Pour le reste rien n'a changé.

À te lire :)
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede nickW » 11 Nov 2008, 01:34

Re-

As-tu exécuté SmitfraudFix Option 2 une seconde fois comme cela était demandé?
Rappel:
L'option 2 doit être lancée en mode sans échec.


J'eus aimé avoir les deux logs de OTListIt (bien plus détaillés qu'un log HijackThis) créés après avoir exécuté SDFix:


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis l'un des trois liens ci-dessous:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
http://download.bleepingcomputer.com/an ... /SDFix.exe
http://sdfix.net/SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").
A la fin de l'installation, une fenêtre du Bloc-notes s'ouvre pour afficher le contenu du fichier "Installed.txt". Fermer cette fenêtre du Bloc-notes.


Étape 2: Mode sans échec
Faire redémarrer le PC en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs). Impératif: ne pas utiliser la méthode "msconfig"!
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 3: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.

Image

Appuyer sur la touche Y puis faire Entrée, pour lancer l'exécution.
Selon l'infection détectée, un redémarrage immédiat est parfois nécessaire. Accepter, et faire redémarrer le PC en mode sans échec.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour faire redémarrer le PC.
Appuyer sur n'importe quelle touche pour faire redémarrer le PC (en mode normal).
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.

Image

Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 4: Résultats
Envoyer en réponse:
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les deux rapports de OTListIt (contenu des fichiers OTListIt.txt et Extras.txt situés sur le Bureau).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 11 Nov 2008, 03:34

Re,

Non, je n'avais pas lancé HiJackThis une deuxième fois. Et je ne l'ai donc toujours pas fait.

J'ai eu un soucis pour déterminer s'il fallait redémarrer en mode normal ou sans échec pendant l'exécution de SDFix, et j'ai redémarré en sans échec alors qu'il aurait fallu, je m'en suis rendu compte à la fin en voyant le message (ta 2e fenêtre SDFix), redémarrer en mode normal.

J'ai donc laisser finir la procédure et repris l'étape 2 (démarrer a froid mode sans échec) puis SDFix et redémarrage en mode normal.

Je te joins donc les deux rapports SDFix dans l'ordre chronologique, puis les deux rapports OTListIt finaux.

À la fin du redémarrage normal j'ai à nouveau la fenêtre initiale du Windows Installer. Le gestionnaire Orange à reperdu ses couleurs et l'icône de "l'antivirus" à disparue, au profit de celle du centre de sécurité Windows absente jusqu'ici.
J'ajoute que depuis le début du fil, j'observe aussi une fenêtre "Deskboard.exe" qui m'informe qu'il à rencontré un problème à chaque ouverture de session.
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

rapport SDFix en mode sans échec

Messagede sergeK » 11 Nov 2008, 03:35

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\EHHUYP.dll - Deleted
C:\WINDOWS\system32\EHHUYP32.dll - Deleted
C:\DOCUME~1\LOCALS~1\APPLIC~1\107630~1.EXE - Deleted
C:\DOCUME~1\LOCALS~1\APPLIC~1\113293~1.EXE - Deleted
C:\DOCUME~1\LOCALS~1\APPLIC~1\117868~1.EXE - Deleted
C:\WINDOWS\aol.com-error.html - Deleted
C:\WINDOWS\gmail.com-error.html - Deleted
C:\WINDOWS\google.com-error.html - Deleted
C:\WINDOWS\live.com-error.html - Deleted
C:\WINDOWS\search.yahoo.com-error.html - Deleted
C:\WINDOWS\system32\wini10901.exe - Deleted
C:\Program Files\Internet Explorer\setupapi.dll - Deleted
C:\WINDOWS\brastk.exe - Deleted
C:\WINDOWS\sysin.scr - Deleted
C:\WINDOWS\system32\adult.txt - Deleted
C:\WINDOWS\system32\delself.bat - Deleted
C:\WINDOWS\system32\finance.txt - Deleted
C:\WINDOWS\system32\lt.res - Deleted
C:\WINDOWS\system32\other.txt - Deleted
C:\WINDOWS\system32\pharma.txt - Deleted
C:\WINDOWS\system32\psyche.exe - Deleted
C:\WINDOWS\system32\PsycheEnqueue.exe - Deleted
C:\WINDOWS\system32\rs32net.exe - Deleted
C:\WINDOWS\system32\sft.res - Deleted
C:\WINDOWS\system32\sn.txt - Deleted
C:\WINDOWS\system32\sxmg4.dll - Deleted
C:\WINDOWS\system32\drivers\ATI6LQXX.sys - Deleted



Folder C:\Documents and Settings\All Users\Application Data\SalesMon - Removed


Removing Temp Files

ADS Check :


C:\WINDOWS\system32\svchost.exe
: ADS Found!
svchost.exe: deleted 25088 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 02:11:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\svchost.exe.tmp:ext.exe 25088 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:Microsoft Management Console"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe"="C:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe:*:Disabled:Hercules Webcam Station Evolution"
"C:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"="C:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe:*:enabled:CSS"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 14 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Rapport SDFix en mode normal

Messagede sergeK » 11 Nov 2008, 03:36

SDFix: Version 1.240
Run by Test on 11/11/2008 at 02:30

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 02:37:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\svchost.exe.tmp:ext.exe 25088 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:Microsoft Management Console"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe"="C:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe:*:Disabled:Hercules Webcam Station Evolution"
"C:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"="C:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe:*:enabled:CSS"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Tue 14 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités