Analyse log hijackthis [RESOLU]

[Gof]

Bonsoir bullbizar

 

Je pense que la protection par KERIO et NOD32 fonctionne; sauf que je voudrais ton avis d'expert pour savoir est-ce suffisant ou faut-il que je mette autre chose. Le PC sert surtout aux enfants pour les jeux online durant les vacances, bientot la rentrée et ils n'auront plus de connection sur ce PC

Les sécurités sont convenables je crois. Si ce pc sert surtout aux jeux en ligne, et pas aux surfs imprudents, les outils devraient être satisfaisants. Il sera par contre nécessaire je crois de mettre à jour le système afin de pallier aux éventuelles vulnérabilités.

 

Tu peux supprimer clean.cmd. Tu peux supprimer Diaghelp.zip et le répertoire dans lequel tu l'as décompressé (sur ton bureau). Pense à supprimer les fichiers se trouvant sous C:\ : Diff.exe, grep.exe, ntbtlog_check.txt, et reboot.cmd.

 

Les noms des infections reconnues dans le répertoire de la quarantaine de NOD32 renvoie vers diverses variantes d'un ver, se propageant via divers fichiers infectés et par réseaux de partage (P2P). Cette infection a semble-t-il la particuliarité également de se propager aux supports amovibles de type USB. Possèdes tu des clés, lecteurs, disques dur externes qui ont été branchés à ce PC ?

[bullbizar]

Possèdes tu des clés, lecteurs, disques dur externes qui ont été branchés à ce PC ?

 

Salut Gof,

 

J'ai supprimé ce que tu m'avais demandé de faire. En ce qui concerne ta question, de temps à autre, ma femme et moi connectons nos clés usb respectives, pour le transfert de fichiers que nous ramenons du travail. Mais jamais de navigation "no safe" ou de P2P.

 

Merci encore Gof et à bientôt.

[Gof]

Bonjour bullbizar

 

Me revoila.

 

Je te demandais si tu possédais des supports amovibles de type Usb car je pense ces supports infectés. Tu peux lire ce sujet de Malekal morte pour voir comment ces infections profitent des supports amovibles pour se propager (liste non exhaustive de variantes, par exemple). Si c'est bien le cas, tu pourrais être rapidement de nouveau infecté à cause de ce type d'infection.

 

Donc, je te recommande :

 

Télécharge Flashdisinfector de sUBs sur ton bureau.

• Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
  
• Double-clique sur Flash_Disinfector.exe.
  
• Cela sera très rapide, un message t'informera de la fin du fix.
  Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  
• Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.
  

Cherche ensuite à la racine de chacun de tes supports et disques (ou partitions) la présence des fichiers autorun.inf, desktop.ini, etc. Ne double-clique pas dessus, mais fais un clic-droit puis sélectionne Ouvrir avec le bloc-notes afin de s'assurer de leur légitimité en regardant sur quel fichier ou instructions ces derniers pointent.

 

Depuis ton dernier post, tout va toujours ?

[bullbizar]

Salut Gof,

 

J'ai procédé à l'analyse de mes 3 flashdisk.....tout va bien.

Aussi, le PC fonctionne impec, sauf un petit souci qui est arrivé à mon fils hier, il s'est fait infecté par le spyware "Spywareprotectpro". Après une recherche sur le forum, j'ai trouvé la méthode de désinfection proposée par Bruce Lee à un forumiste. méthode appliquée aussitôt et qui a donné les résultats escomptés.

 

Je profite de ce message pour remercier Bruce Lee, et toi par la même occasion pour ta disponibilité.

 

Merci encore Gof et à bientôt.

[Gof]

Bonjour bullbizar

 

Il s'agit toujours de ce même pc sur lequel nous travaillons ? Veux tu que l'on regarde ensemble ?

[bullbizar]

Bonjour bullbizar

 

Il s'agit toujours de ce même pc sur lequel nous travaillons ? Veux tu que l'on regarde ensemble ?

 

OK Gof, merci pour ta gentillesse. Par quoi veux-tu qu'on commence?

[Gof]

Bonjour bullbizar

 

Par quoi veux-tu qu'on commence?

Indique moi quelle procédure de Bruce lee tu as trouvé que je vois ce que tu as effectué. Poste moi les rapports associés s'ils sont toujours présents sur le pc. Et fais suivre le tout d'un nouveau rapport HijackThis.

[bullbizar]

Bonjour bullbizar

 

Indique moi quelle procédure de Bruce lee tu as trouvé que je vois ce que tu as effectué. Poste moi les rapports associés s'ils sont toujours présents sur le pc. Et fais suivre le tout d'un nouveau rapport HijackThis.

 

Bonjour Gof,

 

spyware virusprotect pro à éradiquer

 

Je te poste ci-joint la procédure suivie, mais je n'ai gardé aucun rapport......(comme d'habitude)!!!!

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

 

 

3/* Double cliquer sur smitfraudfix.exe

* Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

 

4/Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

O2 - BHO: (no name) - {5DDE5591-A8AB-4897-93EF-1E4E943F85A7} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O3 - Toolbar: (no name) - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} - (no file)

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

6/Redémarre en mode normal

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:25:55, on 02/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\HijackThis.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE229307-5981-4A3E-9978-C58E11C07DC1}: NameServer = 213.177.160.1 213.177.160.2

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

Voilà Gof, Bonne analyse et à bientot.

Modifié le 2 septembre 2007 par bullbizar

[Gof]

Bonjour bullbizar

 

Désolé du délai, j'étais absent cette semaine.

 

Peux tu retélécharger l'outil smitfraudfix de sorte d'avoir une version à jour, et générer à nouveau un rapport en option 1 à titre de vérification je te prie.

 

Supprime l'ancienne version, puis fais ceci (pour rappel) :

Télécharge SmitfraudFix sur ton bureau.

• Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

 

Puex tu m'indiquer si tu constates encore des symptômes apparents ?

[bullbizar]

Salut gof,

 

Merci de ton suivi; J'espère que ta semaine en déplacement s'est bien passée.

 

Donc, je te joins le rapport de smitfraudFix en te signalant que le PC "ne tourne pas rond", y'a des lenteurs, mass downloader fait n'importe quoi, je viens de le désinstaller.

 

Chose importante, Ce PC n'aura plus de connection internet à partir du 15/09......rentrée scolaire oblige, comme c'est celui des enfants . Je voudrais bien qu'il soit clean, afin qu'ils travaillent dessus tranquillement.

 

SmitFraudFix v2.217

 

Rapport fait à 20:37:15,64, 09/09/2007

Executé à partir de D:\t‚l‚chargement\SmitfraudFix (Impossible de le mettre sur le bureau)

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PC

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PC\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PC\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 213.177.160.1

DNS Server Search Order: 213.177.160.2

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE229307-5981-4A3E-9978-C58E11C07DC1}: NameServer=213.177.160.1 213.177.160.2

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE229307-5981-4A3E-9978-C58E11C07DC1}: NameServer=213.177.160.1 213.177.160.2

HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE229307-5981-4A3E-9978-C58E11C07DC1}: NameServer=213.177.160.1 213.177.160.2

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

Merci encore Gof et Bonne soirée.