Analyse de log [RESOLU]

[bullbizar]

Bonjour à toutes et à tous,

 

Depuis ce matin, mon PC rame!!!!

J'ai suivi la procédure de désinfection et vous prie de jeter un oeil sur mon log et me dire que voyez-vous de suspect.

 

merci et à bientot.

 

Logfile of HijackThis v1.99.0

Scan saved at Mami - 14:20:09, on 12/03/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\McAfee\Common Framework\FrameworkService.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\spider.exe

C:\WINDOWS\System32\msiexec.exe

F:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.172.1.10:8080

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\PROGRA~1\MASSDO~1\MDHELPER.DLL

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1125925581

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{306D9691-CA79-4511-94B7-FFA1F04E718E}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B53849BF-2BB3-4A60-BB16-E7729205ED8A}: NameServer = 192.168.0.1

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: McAfee Framework Service - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

Excusez-moi de relancer mon sujet, vu que je n'ai eu aucune réponse.

 

Merci

Modifié le 25 mars 2007 par bullbizar

[bullbizar]

Bonjour,

 

Où etes-vous mes amis????

[IL-MAFIOSO]

Bonjour bullbizar,

 

Fais un scan en ligne chez Panda et postes le rapport dans une réponse :

http://www.pandasoftware.com/activescan/fr...n_principal.htm

"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup

Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

[bullbizar]

Bonjour bullbizar,

 

Fais un scan en ligne chez Panda et postes le rapport dans une réponse :

http://www.pandasoftware.com/activescan/fr...n_principal.htm

"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup

Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

 

Bonjour IL-MAFIOSO, Bonjour tout le monde,

 

Voici le rapport de Activscan de chez Panda

 

 

Incident Statut Analyse

Adware:adware/azesearch No Désinfecté Registre Windows

Dialer:dialer.fgw No Désinfecté hkey_classes_root\phoneaccessexe.phoneaccessexe

Adware:adware/powerstrip No Désinfecté Registre Windows

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\mami\Cookies\mami@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\mami\Cookies\mami@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\mami\Cookies\mami@doubleclick[1].txt

Virus:Eicar.Mod No Désinfecté C:\Program Files\FSI\F-Prot\fpav-help.chm[/prob-scan-ok.html]

Virus:Eicar.Mod No Désinfecté C:\Program Files\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\data1.cab[fpav-help.chm][/prob-scan-ok.html]

Adware:Adware/MagicSearch No Désinfecté C:\WINDOWS\system32\iacad.dll

Virus:W32/Wukill.A.worm Désinfecté E:\mémoire port d'alger.zip[mémoire port d'alger/44/44.exe]

Virus:W32/Wukill.A.worm Désinfecté E:\mémoire port d'alger.zip[mémoire port d'alger/hganane/hganane.exe]

Virus:W32/Wukill.A.worm Désinfecté E:\mémoire port d'alger.zip[mémoire port d'alger/Images/carte2_fichiers/carte2_fichiers.exe]

Virus:W32/Wukill.A.worm Désinfecté E:\mémoire port d'alger.zip[mémoire port d'alger/Images/Images.exe]

Virus:W32/Wukill.A.worm Désinfecté E:\mémoire port d'alger.zip[mémoire port d'alger/mémoire port d'alger.exe]

[IL-MAFIOSO]

1)Télécharge et installe AVG anti-spyware:

http://downloads.grisoft.cz/softw/70/filed...up-7.5.0.50.exe

Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

Mets le à jour à partir du menu Mise à jour en haut. C'est tout pour l'instant.

 

2)Redémarre en mode sans échec avec la touche F8 (vivement recommandé) et choisis ta session habituelle :

http://forum.telecharger.01net.com/telecha...messages-1.html

 

3)Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

4)Redémarres normalement et postes le rapport AVG anti-Spyware

[bullbizar]

Bonjour IL-MAFIOSO,

 

Suite à tes instructions, ci-joint mon rapport d'analyse.

 

Merci pour tes précieux conseils.

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: Mami - 11:50:06 14/03/2007

 

+ Résultat de l'analyse:

 

 

 

C:\WINDOWS\system32\iacad.dll -> Adware.AzSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{47C74D0E-24B0-3C42-95D1-CF0F4E376A71} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{5207E714-5707-5087-6F6B-4F5D816A793D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{677F1711-9252-F24B-4D54-8BE119CD9837} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{DF8C3B06-60CE-66F8-D8E8-70C2CAC3DF90} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{E07FEBA7-DA76-CC40-6C75-197B46A15FC9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Classes\CLSID\{AC212FB9-3883-461E-A559-37A4F6100FB0} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).

C:\372530\actibrow.dl_ -> Dialer.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\372530\actibrow.dll -> Dialer.Small : Nettoyé et sauvegardé (mise en quarantaine).

C:\372530\Accès.exe -> Trojan.Dialer.fu : Nettoyé et sauvegardé (mise en quarantaine).

F:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP248\A0048846.exe -> Worm.Rays : Nettoyé et sauvegardé (mise en quarantaine).

F:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP248\A0048847.EXE -> Worm.Rays : Nettoyé et sauvegardé (mise en quarantaine).

F:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP248\A0048848.exe -> Worm.Rays : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

[IL-MAFIOSO]

1) Télécharge Brute Force Uninstaller (de Merijn)

http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

 

2) FAIS UN CLIC-DROIT sur le lien suivant

http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur

Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).

 

 

3) Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

4) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

Toolbar.bfu

 

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

 

Clique Exit pour fermer le programme BFU.

 

5) Redémarre normalement et refais un scan en ligne chez Panda

[bullbizar]

1) Télécharge Brute Force Uninstaller (de Merijn)

http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

2) FAIS UN CLIC-DROIT sur le lien suivant

http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur

Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).

3) Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

4) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

Toolbar.bfu

 

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

 

Clique Exit pour fermer le programme BFU.

 

5) Redémarre normalement et refais un scan en ligne chez Panda

 

Bonjour,

 

Désolé IL-MAFIOFO pour ce retard; mais comme tu peux le voir sur mon profil, je suis d'Alger et le W.E chez nous, c'est Jeudi - vendredi et comme le PC infecté c'est celui du bureau...ceci explique cela.

Dés mon retour ce matin, j'ai suivi tes instructtions et te joint ci-après mon nouveau rapport d'Activscan de chez Panda.

 

 

Incident Statut Analyse

 

Dialer:dialer.fgw No Désinfecté hkey_classes_root\phoneaccessexe.phoneaccessexe

Adware:adware/powerstrip No Désinfecté Registre Windows

Virus:Eicar.Mod No Désinfecté C:\Program Files\FSI\F-Prot\fpav-help.chm[/prob-scan-ok.html]

Virus:Eicar.Mod No Désinfecté C:\Program Files\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\data1.cab[fpav-help.chm][/prob-scan-ok.html]

 

Merci et à bientot.

[bullbizar]

Bonjour à toutes et à tous,

 

Excusez-moi, je me permets de remonter mon sujet.

 

Bon courage.

[IL-MAFIOSO]

Bonjour bullbizar,

 

1)Vas dans démarrer/exécuter et tapes regedit puis valides.

Dans le panneau de gauche, navigues jusqu'à la clé en gras :

 

hkey_classes_root\phoneaccessexe.phoneaccessexe

 

Sélectionnes-là (assures toi de ne mettre en surbrillance que la clé en gras) puis tu la supprimes.

Fermes la fenêtre de l'éditeur de registre.

 

2)Redémarres ton PC et repostes un log hijackthis.

 

3)Dis moi si ton PC rame encore