Mon PC est-il infecté? analyse rapport hijackthis

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Mon PC est-il infecté? analyse rapport hijackthis

Messagepar galakfr » 02 Sep 2009 22:30

Bonjour,
depuis quelque temps mon ordi plante. La barre en bas de l'écran de vista ne répond plus, firefox est bloqué...
J'ai également des pubs qui s'affichent (1 ou deux fois par jours, c'est pas énorme mais quand même gênant) sous firefox.
Je suis passé de 2go de mémoire vive a 4go en pensant résoudre le probléme mais c'est toujours pareil voir pire.
En espérant qu'il n'y ai rien de ce coté là je publie mon rapport hitjackthis afin de savoir si mon pc est infecté:

Merci d'avance pour votre aide

William

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:11, on 02/09/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\PLFSetL.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Users\GALAK\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\Explorer.EXE
C:\Users\GALAK\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portailneufbox/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\ColorVision\ColorVisionStartup\ColorVisionStartup.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate1c9e462eedf2fa7) (gupdate1c9e462eedf2fa7) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 5396 bytes
galakfr
 
Messages: 9
Inscription: 02 Sep 2009 22:17

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar Falkra » 03 Sep 2009 06:09

Bonjour,

il n'y a pas d'éléments suspects dans le rapport. Certes il ne montre jamais tout, mais le blocage que tu évoques au début n'est sans doute pas infectieux.

On va faire un petit test. Télécharge Malwarebytes' Anti-Malware (MBAM)
Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. ;-)
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar galakfr » 03 Sep 2009 10:35

Merci pour votre aide.
Voici le rapport du logiciel qui n'a rien trouvé de suspect:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2734
Windows 6.0.6002 Service Pack 2

03/09/2009 11:33:45
mbam-log-2009-09-03 (11-33-45).txt

Type de recherche: Examen rapide
Eléments examinés: 80154
Temps écoulé: 6 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
galakfr
 
Messages: 9
Inscription: 02 Sep 2009 22:17

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar Falkra » 03 Sep 2009 16:23

Rien d'infectieux en vue. On va regarder pour firefox.

FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux.

-> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements.
-> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe
-> Une fenêtre de commande s'ouvre et affiche quelques informations générales.
-> Laisse faire l'outil jusqu'à affichage de "Recherches terminées.
Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée].
-> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes.
Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt.
-> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé.
-> Ferme le Bloc-notes et attends les instructions du Conseiller.

FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar galakfr » 03 Sep 2009 21:54

Voici le rapport foxcan:

FoxScan Version 1.1.1
Par Loup blanc - Zebulon.fr
Scan lancé le 03/09/2009 à 22:53

Microsoft Windows Vista (TM) Home Premium Service Pack 2 [version 6.0.6002]

Mozilla Firefox version : 3.5.2 (fr)
Dossier d'installation : C:\Program Files\Mozilla Firefox


=================================================================================
---------- Compte utilisateur : GALAK [Session en cours]
=================================================================================


Profil : default
Dossier du profil : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\
Pages de démarrage prefs.js : "http://www.google.fr/"


//////////// Configuration \\\\\\\\\\\\\
======= Profil : default =======

Mise à jour Firefox : Activé
Mise à jour des modules complémentaires : Activé
Mise à jour des moteurs de recherche : Activé
Java : Activé
Javascript : Activé
Proxy : Pas de Proxy




//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

La notification d'installation des modules complémentaires est activée

Nom : NoScript
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}\
Etat : Inactif

Nom : PhishTank SiteChecker
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{8bc5b5eb-0ec4-46ed-a024-ace8a3032888}\
Etat : actif

Nom : FxIF
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{11483926-db67-4190-91b1-ef20fcec5f33}\
Etat : actif

Nom : Google Toolbar for Firefox
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\
Etat : actif

Nom : Adblock Plus
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}\
Etat : actif

Nom : Microsoft .NET Framework Assistant
Dossier : C:\Users\GALAK\AppData\Roaming\mozilla\firefox\Profiles\9c2y32jn.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\
Etat : actif

Nom : Default
Dossier : C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\
Etat : actif

Nom : Java Console
Dossier : C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\
Etat : actif








//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

Recherche dans "prefs.js" :

browser.search.defaultenginename : "Google"
browser.search.defaulturl : "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
browser.search.selectedEngine : "Google"
keyword.URL :
keyword.enable :


User.js trouvé

browser.search.defaultenginename :
browser.search.defaulturl :
browser.search.selectedEngine :
keyword.URL :
keyword.enable :


--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur





=================================================================================
---------- Section commune
=================================================================================

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

browserdirprovider.dll
brwsrcmp.dll


------------------------------------------------------

//////////// Plugins de recherche \\\\\\\\\\\\\

--------- Moteurs de recherche trouvés ------------
+ Formulaire de recherche configuré pour le moteur


C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
Template : http://www.amazon.fr/exec/obidos/external-search/


C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml
Template : http://www.cnrtl.fr/lexicographie/{searchTerms}


C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
Template : http://rover.ebay.com/rover/1/709-47295-17703-3/4


C:\Program Files\Mozilla Firefox\searchplugins\google.xml
Template : http://www.google.com/search


C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml
Template : http://www.dictionnaire-mediadico.com/dictionnaires.asp


C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
Template : http://fr.wikipedia.org/wiki/Special:Recherche


C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml
Template : http://fr.search.yahoo.com/search


C:\Program Files\Mozilla Firefox\searchplugins\yahoo.xml
Template : chr-greentree_ff&ei



------------------------------------------------------

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\


[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]
"Description"="Adobe© Flash© Player 10"
"Vendor"="Adobe Systems Incorporated"
"Path"="C:\Windows\system32\Macromed\Flash\NPSWF32.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@google.com/npPicasa2,version=2.0.0]
"Description"="Picasa2 plugin"
"Vendor"="Google, Inc."
"Path"="C:\Program Files\Picasa2\npPicasa2.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@google.com/npPicasa3,version=3.0.0]
"Description"="Picasa3 plugin"
"Vendor"="Google, Inc."
"Path"="C:\Program Files\Picasa2\npPicasa3.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@Microsoft.com/NpCtrl,version=1.0]
"Description"="Ag Player Plugin"
"Vendor"="Microsoft"
"Path"="C:\Program Files\Microsoft Silverlight\3.0.40723.0\npctrl.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WLPG,version=14.0.8064.0206]
"Description"="WLPG Install MIME type"
"Vendor"="Microsoft"
"Path"="C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]
"Description"="Windows Presentation Foundation plug-in for Mozilla browsers"
"Vendor"="Microsoft Corp."
"Path"="C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll"

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@tools.google.com/Google Update;version=8]
"Description"="Google Update"
"Vendor"="Google"
"Path"="C:\Program Files\Google\Update\1.2.183.7\npGoogleOneClick8.dll"


------------------------------------------------------

//////////// Recherche additionnelles... \\\\\\\\\\\\\

==== Extension supplémentaire ====



=========================== Fin du rapport ===========================
galakfr
 
Messages: 9
Inscription: 02 Sep 2009 22:17

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar Falkra » 03 Sep 2009 22:03

Tous ces rapports sont clean.

Je te propose d'étudier la question dans la section software (en précisant que ce n'est pas infectieux).

Passe à IE8 au passage (bien plus rapide, plus fiable, plus récent) :
http://www.microsoft.com/windows/intern ... fault.aspx
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar galakfr » 04 Sep 2009 07:30

Ok merci,
je pensais que Firefox était plus sûr que Internet Explorer?

en tout cas merci pour ton aide.
galakfr
 
Messages: 9
Inscription: 02 Sep 2009 22:17

Re: Mon PC est-il infecté? analyse rapport hijackthis

Messagepar Falkra » 04 Sep 2009 16:14

Firefox est très bien, pas de souci. Tu peux sécuriser firefox avec ce tuto de la maison, la partie stripmygiths n'est pas obligatoire, regarde peut-être le reste en premier, avant d'y revenir éventuellement.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités