Aide à l'analyse HiJack This

[bi1sa]

Bonjour à tous.

Depuis quelques temps, mon ordinateur me pose des problèmes :
je reçois intempestivement des messages envoyés par le service des messages m'invitant à me rendre sur registerycleanerxp.

De plus, mon antivirus (Antivir) me signale la présence de fichiers infectés mais qu'il ne semble pas capable de supprimer...

J'ai donc lancé hijackthis mais je ne sais pas l'analyser. Je me suis rendu sur www.hijackthis.de/fr mais je ne fais pas trop confiance au robot.

Merci donc de me guider afin que je n'endommage pas mon ordinateur.

Je vous en remercie par avance.

Cordialement

[bi1sa]

J'ai oublié de vous fournir le code... Désolé

_____________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:20, on 15/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Documents and Settings\Corinne\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1CAF9CA1-F4E5-41BD-9730-361A3B316A53} - C:\WINDOWS\System32\qomjhffe.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {bfc95fe8-b1f2-286a-ba04-dd0ab32a5187} - {7815a23b-a0dd-40ab-a682-2f1b8ef59cfb} - C:\WINDOWS\System32\llxbhutu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\chetvhf.exe
O4 - HKLM\..\Run: [BM8bc820b7] Rundll32.exe "C:\WINDOWS\System32\bmeijuau.dll",s
O4 - HKLM\..\Run: [88fb132b] rundll32.exe "C:\WINDOWS\System32\pxtpvvvw.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

[@YvesJean01@]

Bonsoir Bi1sa,

Voila un log intéressant, tu a un Backdoor.Futro , winIogon.exe qui manipule tes programmes, et un autre Trojan qui pour le moment se nome chetvhf.exe mais son nom reste aléatoire et peut changer, cela veut dire en gros que dès que tu connect ta machine en réseau, que tu n’est pas seul.
Désactive ta restauration système et affiche les dossiers et fichiers cachés puis ouvre hijackthis et fixe les lignes ci dessous et reposte un log pour voir si toutes les taches ont été exécuter autrement ont ira a la mano:

O2 - BHO: (no name) - {1CAF9CA1-F4E5-41BD-9730-361A3B316A53} - C:\WINDOWS\System32\qomjhffe.dll (file missing)

O2 - BHO: {bfc95fe8-b1f2-286a-ba04-dd0ab32a5187} - {7815a23b-a0dd-40ab-a682-2f1b8ef59cfb} - C:\WINDOWS\System32\llxbhutu.dll

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\chetvhf.exe

O4 - HKLM\..\Run: [BM8bc820b7] Rundll32.exe "C:\WINDOWS\System32\bmeijuau.dll",s

O4 - HKLM\..\Run: [88fb132b] rundll32.exe "C:\WINDOWS\System32\pxtpvvvw.dll",b

[bi1sa]

Bonjour, et merci pour cette réponse rapide.

Néanmoins, malgré le fait que je me débrouille en informatique, je ne suis pas un pro et je n'ai pas tout saisi.

Que faut il faire pour bloquer la restauration du système comme tu me le dis, et pour afficher les dossiers cachés (je suis sous XP).

Et je présume que lorsque tu dis fixer les lignes concernées, cela signifie les faire supprimer par HiJack This

Merci de ces quelques précisions, je suivrai alors tes conseils.

Bonne journée et désolé de t'embêter !

[@YvesJean01@]

Bonjour,

Pour ce faire clique sur démarrer puis un clique du droit sur "poste de travail"
clique sur propriétés les propriétés système vont ainsi s'afficher,

Repére et clique sur "Restauration système" puis coche la case pour la désactiver.

recherche l’option des dossiers dans ton panneau de configuration en cliquant sur « Apparence et thèmes » puis sous l’onglet affichage recherche et coche « afficher les dossiers et fichiers cachés » puis valide tu peut maintenant commencer les opérations de "nettoyage" qui permettra de fixer les lignes avec hijackthis qui le fait automatiquement.

pour se faire ouvre hijackthis clique sur 'Do a system scan only', et recherche et coche les lignes suivantes puis valide avec le bouton « Fix Checked » puis confirme "yes" (fait attention a ne pas te tromper de ligne)

[bi1sa]

Bonjour,

Merci pour ces explications. J'ai suivi ce que tu m'as dit, et au redémarrage j'ai eu un message de registrycleaner une fois de plus, mais apres plus un seul et hijackthis n'a plus l'air de voir ce que j'ai supprimé.

Je te mets donc ici le code final, peux tu me dire s'il faut que je réactive la restauration du système

Je te remercie

[@YvesJean01@]

Pour ton message ’Registry Cleaner’ cela doit etre un logiciel qui permet de nettoyer la base de registre, il a enlevé les entrées erronées ou obsolètes lié que nous avons supprimer, mais bizarrement je ne retrouve pas trace de lui dans ton log sous les lignes de démarrage 04 de ton Windows, se n’est pas inquiétant de toutes façon puisque ton log a bien été épurer il a simplement remis les pendules a l’heure.

Le nettoyage c’est dérouler sans problème et j’ai pu noter dans ton log épurer que Alexa avait deux entrer dans ton registre qu’il vaut mieux supprimer voici les lignes a supprimer par sécurité mais toute fois tu peut les garder si tu en a l’utilité :