Analyse HijackThis svp (window, cache, scan, adobe-acrobat)

Seb775

27 Août 2005 16:23:07

Salut a tous, je n'arrive pas me débarasser d'un spyware. Mon fond d'écran a été remplacé par un message qui dit "your system is infected", des messages disant la meme chose apparaissent tout le temps dans la barre de lancement rapide et ma page de démarrage a été changée.

J'ai fait des scans avec spybot et ad-aware et plusieurs scans en ligne sans résultats. J'ai téléchargé HijackThis après avoir lu quelques posts. Ca serait sympa si vous pouvez analyser le rapport parce que je n'y connait vraiment rien.
Merci!

Logfile of HijackThis v1.99.1
Scan saved at 18:17:43, on 27/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\windows\system32\taskmgn.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\winstall.exe
C:\winstall.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows NT\Accessoires\wordpad.exe
C:\Program Files\Windows NT\Accessoires\wordpad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\xp\LOCALS~1\Temp\bniegjmd.exe
C:\DOCUME~1\xp\LOCALS~1\Temp\pjonhjmd.exe
C:\Documents and Settings\xp\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\tool3.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{70F0F215-A071-4FBA-AB2E-50FCB2439E2C}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Autres pages sur : analyse hijackthis svp

| Etre averti des réponses
| Alerter

Répondre à Seb775

alessio@IDN

27 Août 2005 16:29:07

bonsoir telecharge cc cleaner et mets le de coter coche ses lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\tool3.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe

assure toi d avoir acces au fichier cacher

demarrer/poste de travail/outils/option des dossier/cocher les fichier cacher

supprime ses fichier

C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool3.exe
c:\windows\system32\taskmgn.exe
C:\WINDOWS\System32\paytime.exe
C:\winstall.exe
C:\winstall.exe

lance et execute cc cleaner

redemare et reposte un log

| Alerter

Répondre à alessio@IDN

fists

27 Août 2005 16:29:39

C:\windows\system32\taskmgn.exe

A effacer très vite !!

Amicalement

| Alerter

Répondre à fists

leitho

27 Août 2005 17:05:20

Bonjour et :bienvenue:,

alessio cette ligne est légitime : O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe.

De plus, vu son infection une suppression en mode sans échec est indispensable, (surtout qu'il a peut-être deux programmes a désinstaller).

Bon voici l'interprétation de ton log hijakcthis :

1) Télécharge CCleaner : ici

2) Télécharge A²Free : ici, install le puis met le à jour

3) Télécharge Ewido free : ici, installe le puis met le à jour

4) Va dans l'utilitaire de désinstallation des programmes et désinstall ceux la si tu les trouvent :

- SearchAssistant ou un nom apparant
- Casino ou un nom apparant

5) Redémarre en mode sans échec, fait attention tu n'as pas accès à internet. Note bien se qu'il faut faire ou fait un copier coller.

Pour redémarrer en mode sans échec :

Démarre l'ordinateur, une fois le chargement du bios terminé, tapote sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de ton curseur (les flèches de ton clavier), selectionne le mode sans échec et appuye sur entrée.

Ne pas selectionner le mode sans échec avec prise en charge réseau.

6) Lance et exécute ses programmes :

- Lance Ewido free, supprime tous se qu'il te trouve.
- Lance a²Free, supprime tous se qu'il te trouve, copie/colle le rapport dans le bloc note,

- Enregistre sous le bloc note

7) Lance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\tool3.exe
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe

Ferme toutes les fenêtres, sauf le logiciel HijackThis et clique sur Fix checked

8) Assure toi l'acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Active la case : Afficher les fichiers et dossiers cachés,
Désactive la case : Masquer les extensions des fichiers dont le type est connu,
Désactiver la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.

9) Recherche et supprime les fichiers et ou dossiers incriminés (si tu les trouves) :

- C:\WINDOWS\System32\paytime.exe
- c:\windows\system32\taskmgn.exe
- C:\WINDOWS\tool3.exe
- C:\winstall.exe

10) Assure toi de ne plus avoir acces aux fichiers cachés,

Clique sur Démarrer, Poste de travail, onglet Outils, Option des dossiers, onglet Affichage,
Désactive la case : Afficher les fichiers et dossiers cachés,
Active la case : Masquer les extensions des fichiers dont le type est connu,
Active la case : Masquer les fichiers protégés du système d'exploitation,

Clique sur Appliquer puis sur Ok.

11) Lance CCleaner :

Clique sur analyser, puis sur lancer le nétoyage.

12) Redémarre normalement et :

- Va faire un scan en ligne avec panda ici

- Poste ici une autre analyse hijackthis avec le rapport de a²Free et le rapport du scan avec panda.

- Je n'est pas vu d'antivirus, corrige moi si je me trompe a ton prochain poste.

| Alerter

Répondre à leitho

Tom's guide dans le monde