[Hijactkthis] System32.bmpFermé

Question

Bonjour,Je viens de dépanner un collègue qui avait des fenêtres non désirées qui s'ouvraient au démarrage de IE.Sentant l'infection, j'ai utilisé Smitfraudfix 1, puis 2 en mode sans échec.Ensuite, j'ai scannée avec Antivir : RAS.J'ai alors lancé Hijackthis, mais je ne sais pas l'interpréter.Pourriez-vous me dire s'il y a des choses bizarres ?MerciP. MallardPS. précision : suite ce Log, il a désinstallé Norton et je lui ai conseillé de conserver AntiVir

Regis59 · Answer

Salut¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_s... O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326 O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeSupprimeC:\WINDOWS\System32\FTRTSVC.exeArrête ces services :Clique sur Démarrer->exécuter->tape: services.msc Double-clique: Service: France Telecom Routing Table Service Règle-le sur "Arrêté" et "Désactivé". Redemarre le pc et remet un hijack thisPS: Peux tu eviter de passer des lignes ;-) Merci

Regis59 · Answer

Salut RobespierreJe me ferais un plaisir de repondre a ta question mais je ne la comprend pas. Peux tu la reformuler?Tu veux parler de fixer?Je comprend pas pourquoi tu me parle d envoyer....;-)A+

robespierre24 · Answer

En fait, dans ton premeir post, tu as écrit :"PS: Peux tu eviter de passer des lignes ;-) Merci"Ca veut dire quoi ?

Regis59 · Answer

re,dans le rapport que tu as mis, les lignes du rapport ne sont pas collés et c est vraiment embetant pour l analyser, tu comprend?a+

robespierre24 · Answer

Bon bon...Alors voilà.Le copain a fixer tous les éléments que tu avais demandés de fixer.Mais, le problème persiste.La connexion internet est très lente, voire se bloque.Sur sa messagerie (outlook), il reçoit, mais les messages envoyés se bloquent au milieu du parcours.Il m'a dit qu'un message s'ouvrait et l'envoyait vers SystemDoctor.En fouillant, j'ai trouvé la procédure avec Blacklight et Brute Force Uninstaller post : infecte probleme systemdoctor et page de pubAvec Blacklight, il avait des processus et fichiers invisibles :07/14/06 22:28:30 [Info]: BlackLight Engine 1.0.42 initialized07/14/06 22:28:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)07/14/06 22:28:31 [Note]: 7019 407/14/06 22:28:31 [Note]: 7005 007/14/06 22:28:50 [Note]: 7006 007/14/06 22:28:50 [Note]: 7011 137607/14/06 22:28:50 [Note]: 7026 007/14/06 22:28:50 [Note]: 7026 007/14/06 22:28:50 [Note]: 7024 307/14/06 22:28:50 [Info]: Hidden process: C:\windows\system32\xzqbayies.exe07/14/06 22:28:50 [Note]: FSRAW library version 1.7.101907/14/06 22:28:59 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.EXE07/14/06 22:29:00 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~1.DAT07/14/06 22:29:01 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZQBAY~2.DAT07/14/06 22:29:02 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\XZAE48~1.DAT07/14/06 22:29:08 [Info]: Hidden file: c:\WINDOWS\Prefetch\XZQBAY~1.PFJ'ai suivi tes conseils fournis dans le post. La procédure a fonctionné puisque le second rapport a donné ceci :07/15/06 09:37:46 [Info]: BlackLight Engine 1.0.42 initialized07/15/06 09:37:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)07/15/06 09:37:47 [Note]: 7019 407/15/06 09:37:47 [Note]: 7005 007/15/06 09:37:56 [Note]: 7006 007/15/06 09:37:56 [Note]: 7011 136007/15/06 09:37:57 [Note]: 7026 007/15/06 09:37:57 [Note]: 7026 007/15/06 09:38:00 [Note]: FSRAW library version 1.7.101907/15/06 09:38:47 [Note]: 2000 100607/15/06 09:39:26 [Note]: 7007 0Donc a priori xzqbayies.exe était squizzé.Sauf qu'il m'a dit n'avoir pas pu localiser et détruire après FBU un des 6 fichiers concernés c'est-à-dire : xzqbayies.exeOn a relancé la bécane.Refait un log BFU et Hijack (ci-dessous).Or, surprise dans le log hijack apparaît :O4 - HKLM\..\Run: [xzqbayies] c:\windows\system32\xzqbayies.exe xzqbayiesOn l'a fixé ce matin. Puis on a relancé, mais internet patine et se bloque.Par contre, systemdoctor a disparu.Voici les log BFU et HJ :BFU v1.00.9Windows XP SP2 (WinNT 5.01.2600 SP2)Script started at 09:05:33, on 15/07/2006Option Delete files to Recycle Bin: YesFailed: DllUnregister C:\WINDOWS\system32\MSWBM32.DLL|1 (file not found)Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)Failed: FolderDelete C:\Program Files\dialpass (folder not found)Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)Failed: FolderDelete C:\Program Files\egroup (folder not found)Failed: FolderDelete C:\Program Files\Instant Access (folder not found)Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)Failed: DllUnregister C:\WINDOWS
avmpc\2_navmpc.dll|1 (file not found)Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)Failed: FolderDelete C:\WINDOWS
avmpc (folder not found)Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF7646.tmp (operation failed)Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DF87BE.tmp (operation failed)Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFAF5D.tmp (operation failed)Failed: FileDelete C:\DOCUME~1\JEANLO~1\LOCALS~1\Temp\~DFE55D.tmp (operation failed)Failed: FolderCreate C:\WINDOWS\system32\bfubackups (folder already exists)Script completed.Logfile of HijackThis v1.99.1Scan saved at 12:07:40, on 15/07/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Windows Defender\MsMpEng.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVir PersonalEdition Classic\sched.exeC:\Program Files\AntiVir PersonalEdition Classic\avguard.exeC:\Program Files\Ahead\InCD\InCDsrv.exeC:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\WgaTray.exeC:\WINDOWS\Explorer.EXEC:\Progra~1\ASUS\Power4 Gear\BatteryLife.exeC:\Program Files\Micro Application\SuperZip\ZTray.exeC:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exeC:\Program Files\Java\jre1.5.0_03\bin\jusched.exeC:\Program Files\HP\HP Software Update\HPWuSchd2.exeC:\Program Files\HP\hpcoretech\hpcmpmgr.exeC:\PROGRA~1\WANADOO\CnxMon.exeC:\PROGRA~1\WANADOO\TaskbarIcon.exeC:\Program Files\Ahead\InCD\InCD.exeC:\Program Files\Windows Defender\MSASCui.exeC:\Program Files\AntiVir PersonalEdition Classic\avgnt.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Asus\Asus Hotkey\Hotkey.exeC:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeC:\Program Files\HP\Digital Imaging\bin\hpqgalry.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Outlook Express\msimn.exeD:\HOPITAL\HIJACKTHIS\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portailR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=sslR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1O4 - HKLM\..\Run: [ZGTray] C:\Program Files\Micro Application\SuperZip\ZTray.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exeO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exeO4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hideO4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: ASUS Hotkey.lnk = C:\Program Files\Asus\Asus Hotkey\Hotkey.exeO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeO4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exeO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exeO9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - D:\Program Files\Voissa anonymo\Voissaanonymo.exeO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/tw/O17 - HKLM\System\CCS\Services\Tcpip\..\{2AC7AA27-0FFF-4AD2-A7C5-F42FE880C6C8}: NameServer = 80.10.246.130 80.10.246.3O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllO23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exeO23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exeO23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: Lsdiorw - Logiciels & Services Duhem, Paris, France - C:\Program Files\LS_Duhem\lsdiorw\lsdiorw2.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exePour couronner le tout, un message windows l'informe que sa copie est contrefaite, alors que le XP était fourni dans son portable.Que faire ?

Regis59 · Answer

SalutLes messages C est le nouveau gadget de Microsoft; il a fait une mise a jour recemment?a++

robespierre24 · Answer

Je pense que oui..Voilà les derniers développement dans un mail qu'il a réussi à m'envoyer :...A vrai dire rien de changé. J'ai refait toutes les démarches faites ce matin et apparremment il ne reste plus de virus . Cependant la connexion internet est très lente ou inaboutie et à chaque ouverture le même message récurrent de logiciel non conforme.  Je tente de t'expédier ça ; si ça ne marche pas je tente par Orange.-------Voilà.Je ne sais que lui dire.Philippe

Regis59 · Answer

Salutje te retrouve le poste concernant ce soucis et je te le donnea+

Regis59 · Answer

Voila la discution que j ai eu recemment avec Rumba, (un collegue) concernant ce probleme:contrefacon de logiciel#2006 07 13%2020%3A01%3A11Plusieurs solutions sont données, a vous de tester !Je ne vous presente que les solutions legales bien sur.Tiens moi au courant.a+PS: Pour sa protection, ca sera bien de lui installer un pare feu.

robespierre24 · Answer

Merci pour le lien.Je lui envoie et te tiens informé de la solution qui a marché.Sinon, quel firewall utiliser ?Merci.

Regis59 · Answer

De rien robespierre :-)Je te conseillerais kerio que tu peux telecharger gratuitement ici:http://entraide.aceboard.fr/175280-2008-988-0-Securiser-Proteger-ordinateur-contr...A+

[Hijactkthis] System32.bmp

11 réponses

Discussions similaires

Newsletters