HD enragé (et moi aussi)

[c.junior]

Logfile of HijackThis v1.99.1

Scan saved at 20:18:15, on 29/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147543775046

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi253128.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[LoGiC]

salut c.junior,

 

pourquoi as-tu fixé toutes les lignes 04 ??????

 

lances HijackThis >> view the list of backups>> recoches au moins ton antivirus !!!!>>et cliques sur restore.

 

cette ligne là >> O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

Modifié le 29 août 2006 par guronsan

[c.junior]

OK

 

 

 

 

impossible de désinstaller Fire Panel XP et Windows Defender depuis le Panneau de configuration.

 

Pourtant par le même mode sans echec j'ai désinstallé d'autres programmes sans problème

Modifié le 29 août 2006 par c.junior

[c.junior]

légère amélioration: j'ai désinstallé ZA et je peux maintenant utiliser IE sans empêchement. C'est une dll de ZA qui bloquait IE quand un spyware envoyait ses pubs intempestives.

 

Je ne dois plus arriver ici par le disk Bart PE

Modifié le 29 août 2006 par c.junior

[c.junior]

en fait le progrès est net

 

je peux enfin accéder à ma session en Mode complet... il y a longtemps que cet écran ne m'était plus apparu. Que l'image est belle !!!

 

c'était donc ZA à son initialisation qui faisait mouliner le HD à plein pot mais c'est fini et je ne devrai pas reformater et tout perdre

Modifié le 29 août 2006 par c.junior

[tornado]

Salut c.junior et bienvenue sur le forum sécurité de zébulon,

 

 

Comme Shaldrin semble avoir lâché l'affaire, je vais essayer de t'aider à poursuivre la désinfection (à la commencer plutôt). En effet, d'après les symptômes que tu indiques + ton rapport Hijackthis, on peut déduire que ton système est infecté. On va tout reprendre à zero si tu veux bien...

 

Avant toute chose, installe un pare-feu pour remplacer ZA. Prend bien ton temps pour le configurer correctement, sinon, il ne servira à rien . Je te propose 2 pare-feu gratuits et efficaces :

 

 

=> Kerio

- Téléchargement : http://www.sunbelt-software.com/Kerio-Download.cfm

- Tutoriel : http://www.malekal.com/kerio_firewall.html (merci à Malekal_Morte)

 

=> Outpost free

- Téléchargement : http://www.agnitum.com/products/outpostfree/download.php (remplis le formulaire pour recevoir le lien de téléchargement par mail. C'est gratuit, ne t'inquiète pas)

- Tutoriel de E.Durup. : http://etienne.durup.free.fr/securite/outpost/OPconf.htm

- Tutoriel de Malekal_Morte : http://www.malekal.com/tutorial_outpost.html

 

 

Un redémarrage sera nécessaire pour le firewall choisi.

 

_______________________________________________________________________

 

 

Après installation du firewall, applique la procédure préliminaire suivante :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
  

Phase 2

• Redémarre le PC, impérativement en mode sans échec.
   
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
   
  
• A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
   
   
  
• Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
  -Active la case : "Afficher les fichiers et dossiers cachés"
  -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis clique sur "Appliquer".
  Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
  

Phase 3

• Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses
   
  Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
   
   
  
• Exécute Hijackthis :
  Clique sur "Open the misc tools sections"
  Clique sur "Open uninstall Manager"
  Clique sur "Save list"
  Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.
  

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage

Modifié le 29 août 2006 par tornado

[Shaldrin]

Bonne nouvelle, comme quoi... je n'aurais pas penser à Zone Alarm.. je l'avais vu; mais c'était plustot les deux autres qui me semblaient pouvoir poser pb....

 

Euh sinon... si tu as fait un chkdsk ! et qu'il t'a corrigait des erreurs ! fais très attention !! refais en un dans une semaine et s'il te recorrige des clusters defectueux ! je te conseille une sauvegarde rapide de tes données....

 

car ça serait le signe que ton HDD ( disque dur ) est en train de lâcher... donc méfiance.

 

[c.junior]

pour Tornado

je ne peux pas garder le Pare feu Windows? (même si c'est une daube). Ces derniers jours de lutte m'ont lessivé. Je suis devenu une moule sans ressort à cause de l'informatique et je n'ai plus envie de rien faire.

 

Le PC fonctionne bien (apparament) mais je sais qu'il est infecté par plusieurs indices: il y a des pages web publicitaires de N9uf ADSL et des 3 Suisses qui surgissent chaque x

Mais ce qui est aussi préoccupant ce sont les séquelles dans le système des ces 3 derniers jours. Des détails me rappellent de mauvais moments.

 

Par exemple

1) quand je fais ctrl alt del iol y a "le gestionnaire des tâches a été désactivé par votre administrateur"

2) le démarrage est encore trop long et le HD se démène comme si il y avait 3 x plus de trucs dans le démarrage et les Services

 

Ce qui me rend paresseux n'est pas seulement le travail pour tuer les spywares subsistant mais après il faudra encore faire la finition pour apporter un travail de miniaturiste pour les séquelles constatées et celles que je vais encore découvrir à l'usage...

 

 

pour Shaldrin

je ne cherche plus que des solutions faciles... du moins pendant quelques jours.

Modifié le 30 août 2006 par c.junior

[tornado]

Re,

 

 

je ne peux pas garder le Pare feu Windows? (même si c'est une daube). Ces derniers jours de lutte m'ont lessivé. Je suis devenu une moule sans ressort à cause de l'informatique et je n'ai plus envie de rien faire.

 

Bon ... tu peux le garder pour l'instant. Mais je te ferais installer un pare-feu digne de ce nom quand on aura terminé la désinfection.

Lâche pas l'affaire, on est là pour t'aider

 

 

Par exemple

1) quand je fais ctrl alt del iol y a "le gestionnaire des tâches a été désactivé par votre administrateur"

 

C'est une combine courante des malwares, de désactiver le gestionnaire de tâches. si après la désinfection, les droits n'ont pas changés, on le fera manuellement, en passant directement par regedit.

 

2) le démarrage est encore trop long et le HD se démène comme si il y avait 3 x plus de trucs dans le démarrage et les Services

 

Là, peut-être que Shaldrin a raison ... faut-voir ce que ça donne après que le système soit entièrement propre.

 

Ce qui me rend paresseux n'est pas seulement le travail pour tuer les spywares subsistant mais après il faudra encore faire la finition pour apporter un travail de miniaturiste pour les séquelles constatées et celles que je vais encore découvrir à l'usage...

 

Tu sais, tu peux prendre ton temps . Les "séquelles" disparaissent en général avec l'éradications des malwares incriminés ...

 

 

 

Pour le chkdsk, je le ferais utiliser qu'en dernier recours ... ça prend du temps, et ça ne fonctionne pas tout le temps

 

 

A+ et bon courage

[Shaldrin]

Re :

 

Alors pour reprendre sur ce qu’il fallait noter dans l’observateur d’événement, ce sont les erreurs donc en rouge ! et les avertissement éventuellement…

Regarde à nouveau, et donne moi la source et le n° ID si des choses te semblent intéressantes…

 

Bloc défectueux a été détecté ! c’est intéressant également… ça signifie que ton Hdd est en train de lâcher comme je le suppose d’après ce que tu as dit… mais bon c’est à vérifier. Tu le verras forcement dans l’observateur, tu auras des erreurs DISK

 

Bon sinon moi aussi je pense que tu peux garder le pare feu de XP… personnellement, mon pc n’a pas d’antivirus et a juste le pare feux d’XP d’activé... et je ne chope rien… il suffit d’avoir un poste patché et d’avoir une bonne « hygiène » sur internet… Ne pas s’étonner d’avoir des spy, si on va sur des sites peux recommandables… etc

 

Pour ton problème de gestionnaire des tâches… suit les indications de ce lien :

ICI

 

Il te faut aller dans la base de registre, si tu as toujours un virus, il est probable que ton gestionnaire au redémarrage soit à nouveau verrouillé… A ce moment là il faudra vraiment trouve la cause.

 

 

Bon on va s’y prendre autrement maintenant, va dans démarrer-Executer et tapes : services.msc

 

Là tu vas arriver dans la console qui gère les services de ton pc ! Donc on va arrêter tous les processus « en trop » ou qui n’ont rien a faire dans une utilisation standard.

 

Donc cherche ces services et passe les en manuel et arrête les !

 

O23 - Service: InstallDriver Table Manager (IDriverT) –

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) –

O23 - Service: TrueVector Internet Monitor (vsmon) –

 

Ce dernier c’est Zone Alarm.. si c’est le vrai !! donc pas besoin puisque là tu tournes avec le parfeu d’XP.

 

Pendant quej’y serais j’arrêterais le service d’IPOD.. on sait jamais… mais bon… pas forcement nécessaire pour l’instant…

 

Donc arrête ces 3 services, reboot le pc… donnes nous le résultat et le log d’hijackthis apres.

 

A tout de suite…

Modifié le 30 août 2006 par Shaldrin