analyse hijackthis suite infection spambot

Ajouter un message à la discussion

jb2513

Posté le 29/11/2006 @ 10:26

salut,

j'ai deja effectué le nettoyage

voila mon rapport merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 10:24:32, on 29/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/index.php?rvs=hompag
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

philae

Posté le 29/11/2006 à 11:28

Grande Maîtresse astucienne

Bonjour,

poste le rapport du scan d'AVG stp

jb2513

Posté le 29/11/2006 à 12:28

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:29:57 29/11/2006

+ Résultat de l'analyse:

C:\Program Files\Atari\Dora au pays des Contes de Fées\ !Dora au pays des contes de fÚes - Atari [ installer ].exe -> Adware.Casino : Aucune action entreprise.
:mozilla.19:C:\Documents and Settings\el rital\Application Data\Mozilla\Firefox\Profiles\u7h3lrru.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

Fin du rapport

philae

Posté le 29/11/2006 à 14:02

Grande Maîtresse astucienne

ton jeu est-il légal ?

as tu paramétré correctement AVG il est écrit : aucune action entreprise.

RAS dans ton rapport HijackThis

jb2513

Posté le 29/11/2006 à 19:48

je pense que c'est quand j'ai telechargé un no-cd pour ce jeu que ca m'a infecté car avast s'était déclenché et j'avais supprimé le fichier

par contre pour avg je sais pas comment faire pour le parametrer...

philae

Posté le 29/11/2006 à 20:51

Grande Maîtresse astucienne

pour paramétrer AVG

Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option 3
"Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

jb2513

Posté le 30/11/2006 à 14:46

VG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 14:46:58 30/11/2006

+ Résultat de l'analyse:

C:\Program Files\Atari\Dora au pays des Contes de Fées\ !Dora au pays des contes de fÚes - Atari [ installer ].exe -> Adware.Casino : Aucune action entreprise.
:mozilla.79:C:\Documents and Settings\el rital\Application Data\Mozilla\Firefox\Profiles\u7h3lrru.default\cookies.txt -> TrackingCookie.Googleadservices : Aucune action entreprise.
:mozilla.66:C:\Documents and Settings\el rital\Application Data\Mozilla\Firefox\Profiles\u7h3lrru.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.67:C:\Documents and Settings\el rital\Application Data\Mozilla\Firefox\Profiles\u7h3lrru.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.68:C:\Documents and Settings\el rital\Application Data\Mozilla\Firefox\Profiles\u7h3lrru.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\el rital\Cookies\el rital@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.

Fin du rapport

voila mon rapport

merci!

jb2513

Posté le 30/11/2006 à 14:48

dsl j'ai pas mis le bon rapport!

j'ai tout nettoyé ce qu'il y a marqué c bon!

j'ai fait appliquer toutes les actions

merci

philae

Posté le 30/11/2006 à 15:25

Grande Maîtresse astucienne

Bonjour,

c'est ok, si tu veux être certain que tout est vraiment clean, fait un scan antivirus en ligne ICI et poste le rapport ensuite

(ne pas choisir la sauvegarde au format html.Merci)

jb2513

Posté le 02/12/2006 à 09:56

salut

voila j'ai fait un scan en ligne comme tu m'as dit!

j'ai une infection qui a été nettoyée : deepscan generic horst...

j'ai sauvegardé le rapport au format texte car apparemment tu n'aimes pas le html...mais le souci c'est que c'est illisible ce rapport je comprends pas!

<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >

<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
BitDefender Online Scanner
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>
<tr>
<td colspan="3" width="912">
Rapport d'analyse généré à: Sat, Dec 02, 2006 - 09:52:35
</td>
</tr>

<tr>
<td width="458">
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;I:\;
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
Statistiques
</td>
</tr>
<tr>
<td width="57%">
Temps
</td>
<td width="43%" align="right">
00:50:34
</td>
</tr>
<tr>
<td width="57%">
Fichiers
</td>
<td width="43%" align="right">
413470
</td>
</tr>
<tr>
<td width="57%">
Directoires
</td>
<td width="43%" align="right">
6349
</td>
</tr>
<tr>
<td width="57%">
Secteurs de boot
</td>
<td width="43%" align="right">
5
</td>
</tr>
<tr>
<td width="57%">
Archives
</td>
<td width="43%" align="right">
3913
</td>
</tr>
<tr>
<td width="57%">
Paquets programmes
</td>
<td width="43%" align="right">
42406
</td>
</tr>
</table>
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
Résultats
</td>
</tr>
<tr>
<td width="57%">
Virus identifiés
</td>
<td width="43%" align="right">
2
</td>
</tr>
<tr>
<td width="57%">
Fichiers infectés
</td>
<td width="43%" align="right">
2
</td>
</tr>
<tr>
<td width="57%">
Fichiers suspects
</td>
<td width="43%" align="right">
0
</td>
</tr>
<tr>
<td width="57%">
Avertissements
</td>
<td width="43%" align="right">
0
</td>
</tr>
<tr>
<td width="57%">
Désinfectés
</td>
<td width="43%" align="right">
0
</td>
</tr>
<tr>
<td width="57%">
Fichiers effacés
</td>
<td width="43%" align="right">
2
</td>
</tr>
</table>
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
Info sur les moteurs
</td>
</tr>
<tr>
<td width="57%">
Définition virus
</td>
<td width="43%" align="right">
323970
</td>
</tr>
<tr>
<td width="57%">
Version des moteurs
</td>
<td width="43%" align="right">
AVCORE v1.0 (build 2368) (i386) (Nov 16 2006 11:31:19)
</td>
</tr>
<tr>
<td width="57%">
Analyse des plugins
</td>
<td width="43%" align="right">
14
</td>
</tr>
<tr>
<td width="57%">
Archive des plugins
</td>
<td width="43%" align="right">
38
</td>
</tr>
<tr>
<td width="57%">
Unpack des plugins
</td>
<td width="43%" align="right">
6
</td>
</tr>
<tr>
<td width="57%">
E-mail plugins
</td>
<td width="43%" align="right">
6
</td>
</tr>
<tr>
<td width="57%">
Système plugins
</td>
<td width="43%" align="right">
1
</td>
</tr>
</table>
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
Paramètres d'analyse
</td>
</tr>
<tr>
<td width="57%">
Première action
</td>
<td width="43%" align="right">
Désinfecté
</td>
</tr>
<tr>
<td width="57%">
Seconde Action
</td>
<td width="43%" align="right">
Supprimé
</td>
</tr>
<tr>
<td width="57%">
Heuristique
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Acceptez les avertissements
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Extensions analysées
</td>
<td width="43%" align="right">
*;
</td>
</tr>

<tr>
<td width="57%">
Excludez les extensions
</td>
<td width="43%" align="right">
 
</td>
</tr>
<tr>
<td width="57%">
Analyse d'emails
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Analyse des Archives
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Analyser paquets programmes
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Analyse des fichiers
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
<tr>
<td width="57%">
Analyse de boot
</td>
<td width="43%" align="right">
Oui
</td>
</tr>
</table>
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td colspan=2>  
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
Fichier analysé
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
 Statut
</td>
</tr>
<tr>
<td width="57%">
C:\Documents and Settings\el rital\Local Settings\Tempsetup.exe
</td>
<td width="43%" align="left">
Infecté par: DeepScan:Generic.Horst.FA1BE07F
</td>
</tr><tr>
<td width="57%">
C:\Documents and Settings\el rital\Local Settings\Tempsetup.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\Documents and Settings\el rital\Local Settings\Tempsetup.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\WINDOWS\system\smss.exe
</td>
<td width="43%" align="left">
Infecté par: DeepScan:Generic.Horst.5D586725
</td>
</tr><tr>
<td width="57%">
C:\WINDOWS\system\smss.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\WINDOWS\system\smss.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr>
</table>
</td>

<td width="10%">
 
</td>
</tr>

</table>

</body>
</html>

le voila!

apparemment ya un souci la...

philae

Posté le 02/12/2006 à 10:43

Grande Maîtresse astucienne

bonjour

non, tu l'as sauvegardé en format html et non en format txt

bon c pas grave, je vais le regarder en enlevant ce dont je me moque éperdument

il faut retenir ceci

C:\Documents and Settings\el rital\Local Settings\Tempsetup.exe
Echec de la désinfection
C:\Documents and Settings\el rital\Local Settings\Tempsetup.exe
Supprimé
C:\WINDOWS\system\smss.exe
Infecté par: DeepScan:Generic.Horst.5D586725
C:\WINDOWS\system\smss.exe
Echec de la désinfection
C:\WINDOWS\system\smss.exe
Supprimé

comment se comporte ton pc maintenant

Modifié par philae le 02/12/2006 11:00

jb2513

Posté le 02/12/2006 à 11:24

il va bien...

par contre j'ai kerio en pare-feux et il m'indique une tentative d'intrusion par msn messenger....

je comprends pas pourquoi...

j'ai mis refuser!

c'est bon ou pas?

tu sais le configurer?

philae

Posté le 02/12/2006 à 12:02

Grande Maîtresse astucienne

je n'utilise pas MSN messenger et je ne connais pas Kerio

tutos pour kerio si cela peut t'aider

http://www.tutoriaux.biz/tutorial_kerio_personal.php

http://kerio215.free.fr/

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Les bons plans du moment PC Astuces

Tous les Bons Plans

524,88 €

Ecran PC incurvé 34 pouces Gigabyte G34WQC (WQHD, 144 Hz) à 524,88 €
Valable jusqu'au 07 Mars

Amazon fait une promotion sur l'écran PC incurvé 34 pouces Gigabyte G34WQC qui passe à 524,88 € au lieu de 600 €. Cet écran possède une dalle incurvée 34 pouces VA WQHD (3440x1440) à 1 ms et à 144 Hz (FreeSync Premium et Adaptive Sync). Elle offre le HDR400 et intègre 2 haut-parleurs 2W. Son pied est réglable en hauteur et en inclinaison.

> Voir l'offre

94,99 €

SSD Crucial MX500 1 To à 94,99 €
Valable jusqu'au 07 Mars

Amazon propose actuellement le SSD Crucial MX500 1 To à 94,99 € livré. On le trouve ailleurs à partir de 110 €. Ce SSD salué par la critique par son rapport qualité prix imbattable offre des débits de 560 Mo/s en lecture et 510 Mo/s en écriture. Il est garanti 5 ans. Une très bonne affaire.

> Voir l'offre

59,99 €

Souris sans fil Logitech G703 LIGHTSPEED à 59,99 €
Valable jusqu'au 07 Mars

Amazon fait une promotion sur la souris sans fil Logitech G703 qui passe à 59,99 € livrée gratuitement alors qu'on la trouve ailleurs à partir de 90 €. Elle intègre le capteur HERO de Logitech afin de vous offrir un suivi et une efficacité supérieurs. Sans fil, elle dispose de la technologie Lightspeed afin de vous permettre une réactivité et une connectivité de qualité professionnelle pour des sessions de jeu longue durée allant jusqu'à 35 heures. De plus, les courbes naturelles s'adaptent parfaitement à votre main alors que le poids amovible de 10 grammes vous permettra d'alourdir votre souris afin d'améliorer encore plus la prise en main.

> Voir l'offre