Demande d'analyse d'un log hijackthisFermé

Question

Bonjour à toutes et à tous,Suite à l'apparition malencontreuse d'un trojan, j'ai perdu ma page de démarrage (habituellement "free") pour "real-yellow-page" et il m'est impossible de m'en débarrasser (malgré Norton et spybot).De plus dans option internet à la place de l'adresse par défaut, 'ai une succession de carrés ou de ? et ne peut plus y conserver "free"Quelqu'un aurait-il donc la gentillesse de m'apporter une solution, grâce notamment au log qui suit? Mais y-a-t-il également une manipulation "facile" à partir de regedit afin que tout rendre dans l'ordre?Merci d'avance à ceux qui pourront me tirer de ce mauvais pas et décrypter ce langage étrange.Logfile of HijackThis v1.97.5Scan saved at 19:26:38, on 05/03/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTsvcCDA.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\MsPMSPSv.exeC:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exeC:\WINDOWS\System32\CTHELPER.EXEC:\WINDOWS\System32mctrl.exeC:\Program Files\Fichiers communs\CMEII\CMESys.exeC:\WINDOWS\System32\windiv.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Creative\ShareDLL\CtNotify.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32undll32.exeC:\Program Files\Messenger\msmsgs.exeC:\PROGRA~1\ezula\mmod.exeC:\PROGRA~1\ezula\mmod.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exeC:\Program Files\SAGEM\SAGEM F@st800\dslmon.exeC:\WINDOWS\System32undll32.exeC:\Program Files\Fichiers communs\GMT\GMT.exeC:\Program Files\Creative\ShareDLL\MediaDet.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Mes téléchargements\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.free.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hegfhj.t.muxa.cc/h.php?aid=551 (obfuscated)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://hegfhj.t.muxa.cc/h.php?aid=551 (obfuscated)O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL__SpybotSDDisabled (file missing)O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet
ewdotnet5_64.dll__SpybotSDDisabled (file missing)O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLLO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: TopText - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - C:\PROGRA~1\eZula\eabh.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXEO4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXEO4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /runO4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32mctrl.exeO4 - HKLM\..\Run: [EbatesMoeMoneyMaker] wjview /cp:p "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WinStart001.EXE -bO4 - HKLM\..\Run: [WINSTA~1.EXE] C:\WINDOWS\System\WINSTA~1.EXE -bO4 - HKLM\..\Run: [divwin] divwin.exeO4 - HKLM\..\Run: [windiv] windiv.exeO4 - HKLM\..\Run: [windows auto update] msblast.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartupO4 - HKLM\..\Run: [sys] regedit -s sys.regO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exeO4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS\winmgts\winmgts.exeO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: ADSL Autoconnect.lnk = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exeO4 - Global Startup: DSLMON.lnk = ?O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXEO4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exeO4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: Related (HKLM)O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)O10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/O17 - HKLM\System\CCS\Services\Tcpip\..\{890DC78D-3D30-4E3B-8C6C-76C20952E289}: NameServer = 213.228.0.212 212.27.32.177Merci encore

X Sphinx · Answer

Salut.Une petite recherche google donne ceci:http://www.pcmag.com/article2/0,1759,1523357,00.aspHum... effectivement il y a l'air d'y avoir une petite bébête ;) bébête qui est anti ... anti spyware hélas.Bon, un premier scan avec Spybot pour voir? http://www.safer-networking.org/index.php?page=downloadEnsuite l 'utilitaire spécifique pour ce cas là:http://www.softpedia.com/public/cat/10/17/10-17-150.shtmlDéjà on y verra plus clair.Après seulement on peut passer à Hijackthis, car sans les bases de données de spybot, ou adaware, il est parfois difficile d'interpréter  correctement les logs de ce programme, et surtout de virer les bons résidents "malsains".Pour le log:C'est quoi le msblat.exe ? dans le RUN?  je suis inquiet là.Je préconise de désactiver Norton et de lancer ceci:http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39067762s,00.htmEzula est à virer:http://www.pestpatrol.com/Search/SearchPestInfo.asp?qu=mmod.exe+&sc=%2FPestInfo%2F&Action=GoEnsuite: precision time en est 1 aussi:http://www.pestpatrol.com/Search/SearchPestInfo.asp?qu=precisiontime&sc=%2FPestInfo%2F&Action=GoMybar est pas très sympa:http://www.pestpatrol.com/Search/SearchPestInfo.asp?qu=MYBAR.DLL&sc=%2FPestInfo%2F&Action=GoLe msdxm.ocx  m'inquiète aussi mais je n'ai rien trouvé (ça ne veut pas dire qu'il est sain!)Après: bhobidule, pareil: (et ses copains)http://www.pestpatrol.com/Search/SearchPestInfo.asp?qu=BHO001.DLL+&sc=%2FPestInfo%2F&Action=Goetc.En fait, toutes les entrées sont à virer pour avoir un navigateur propre (après scan spybot et adaware!)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hegfhj.t.muxa.cc/h.php?aid=551 (obfuscated)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://hegfhj.t.muxa.cc/s.php?aid=551 (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://hegfhj.t.muxa.cc/h.php?aid=551 (obfuscated)O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL__SpybotSDDisabled (file missing) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet
ewdotnet5_64.dll__SpybotSDDisabled (file missing)O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\System\BHO001.DLLO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL O3 - Toolbar: TopText - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - C:\PROGRA~1\eZula\eabh.dll au minimum!! Bilan: je recommande de télécharger spybot et adaware.Commencer peut être par appliquer le patch dont j'ai parlé.Ensuite, en mode sans échec, scan Adaware, puis spybot, et enfin en mode normal, rescan spubot...Bon courage.@+

Alexis · Answer

Tout d'abord merci à toi SPHINX pour avoir pris le temps de t'occuper de mon problème et désolé de n'avoir pas pu te répondre plus tôt.J'ai donc suivi tes indications dans l'ordre et apparemment la "bêbête a disparu. Je fournis néanmoins le nouveau de hijackthis pour confirmation, si tu peux y jeter un oeil.ENCORE MERCILogfile of HijackThis v1.97.5Scan saved at 11:18:25, on 06/03/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTsvcCDA.exeC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\MsPMSPSv.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\CTHELPER.EXEC:\WINDOWS\System32mctrl.exeC:\WINDOWS\System32\windiv.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Creative\ShareDLL\CtNotify.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Creative\ShareDLL\MediaDet.exeC:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exeC:\WINDOWS\System32undll32.exeC:\Program Files\SAGEM\SAGEM F@st800\dslmon.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Microsoft Office\Office10\WINWORD.EXEC:\Mes téléchargements\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.free.fr/O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXEO4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXEO4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /runO4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32mctrl.exeO4 - HKLM\..\Run: [divwin] divwin.exeO4 - HKLM\..\Run: [windiv] windiv.exeO4 - HKLM\..\Run: [windows auto update] msblast.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: ADSL Autoconnect.lnk = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exeO4 - Global Startup: DSLMON.lnk = ?O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: Related (HKLM)O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/par contre dans option internet "free" n'est toujours pas installé comme page de défaut. Y aurait-il encore un problème?

X Sphinx · Answer

Salut à toi Alexis!
Content de voir que ça va mieux pour toi.

Il reste encore 2 ou 3 choses à corriger je pense:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Puis: http://rcm.golfedefos.free.fr/clubinfo/news/
Je cite:
Quand on installe certains logiciels, on peut se retrouver avec des éléments que l'on a pas demandé ( spywares etc ... ) et
qui bien souvent provoquent ce genre de phénomène.
Pour ma part j'ai eu ce gag après l'installation d'un DIVX player. Connexion automatique au démarrage et ouverture d'un popup
de pub.
Voici le plus efficace pour sans débarraser.
1) Telecharger un logiciel anti-spyware comme AD-AWARE par exemple ( tu le trouveras sur www.telecharger.com par exemple ) -
L'installer puis Scanner tout ( la mémoire , le registre , le disque dur ) . Supprimer les entrèes qu'il te propose de
supprimer.
2) Redemarrer le PC - et voir si le Pb persiste ou non
3) S'il persiste : Faire Démarrer >> Executer >> tu tapes "msconfig" >> puis onglet Démarrage
Là tu décoches tout ce qui est suspect. ( Pour ma part il s'agissait d'un entrée Divwin et une autre Windiv)
Et tu redémarre le PC
NB: si tu ne sais pas trop ce qui est suspect ou pas. tu peux tout décocher dans un premier temps puis remettre les coches 1
par 1 . Il faut redémarrer le PC à chaque fois => ça peut-être long mais ......je vois pas d'autre moyen.

Entrées de hijackthis à virer:
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Et voir ici:
http://163.5.255.85/forum/affich-499407-plus-rien-sur-mon-bureau-au-secours

Le scan avec stinger a-t-il été fait? Il a donné quoi?

Bon courage, et ... @+

ALexis · Answer

Encore une fois merci Sphinx. Je n'ai eu le temps que ce matin pour faire les dernières manip. et tout semble marché comme avant.A bientôt

Claude Gaspart · Answer

Bonjour!Mêmes problèmes que l'interlocuteur précédent. ( Système xp fAMILY VERSION)Merci de votre aide. Cl.Gaspart

Demande d'analyse d'un log hijackthis

5 réponses

Discussions similaires

Newsletters