Analyse zeb help process

[Invité hieronimus]

Bonjour à tous,

J'ai effectué une analyse avec Zeb help process, maintenant que dois-je faire avec ce rapport.

Merci de vos réponses.

 

Zeb Help Process v2.2 by Nicolas Coolman - Rapport Général du 01/05/2008 10:38:50

 

Logfile of Trend Micro HijackThis v2.0.2

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Processus lancés

C:\WINDOWS\System32\smss.exe => Microsoft®Windows NT

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe => Microsoft®Windows NT

C:\WINDOWS\system32\services.exe => Microsoft®Windows NT

C:\WINDOWS\system32\lsass.exe => Microsoft®Windows NT

C:\WINDOWS\system32\Ati2evxx.exe => ATI®Cartes graphiques

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe => TuneUp Software GmbH®TuneUp Utilities

C:\WINDOWS\System32\svchost.exe => Microsoft®Windows NT

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\WINDOWS\System32\wltrysvc.exe => Belkin®Broadcom Corporation Wireless

C:\WINDOWS\System32\bcmwltry.exe => Broadcom®Wireless Network software

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe => Lavasoft AB®Ad-Aware 2007

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe => Alwil®Avast! Antivirus

C:\Program Files\Alwil Software\Avast4\ashServ.exe => Alwil®Avast! Antivirus

C:\WINDOWS\system32\spoolsv.exe => Microsoft®Windows NT

C:\WINDOWS\system32\Ati2evxx.exe => ATI®Cartes graphiques

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\Acer\eManager\anbmServ.exe => OSA®Notebook Manager Service

C:\WINDOWS\Explorer.EXE => Microsoft®Windows NT

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe => Grisoft®AVG AntiSpyware

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe => Widcomm®Bluetooth Software

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe => Sunbelt®Kerio Personal Firewall

C:\PROGRA~1\SPYWAR~3\sp_rsser.exe => Crawler®Spyware Terminator

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe => Sunbelt®Kerio Personal Firewall

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe => Synaptics®Touchpad

C:\WINDOWS\system32\svchost.exe => Microsoft®Windows NT

C:\WINDOWS\SOUNDMAN.EXE => Realtek®Avance Logic Sound

C:\PROGRA~1\SPYWAR~3\SpywareTerminatorShield.exe => Crawler®Spyware Terminator

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe => Alwil®Avast! Antivirus

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe => Real Networks®Real Player

C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows NT

C:\Program Files\Canon\CAL\CALMAIN.exe => Canon®Camera Access

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe => Operators®Modem Fast 800-840

C:\DOCUME~1\Laurent\LOCALS~1\Temp\RtkBtMnt.EXE => Realtek®HD Audio Data Rerouter

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe => Alwil®Avast! Antivirus

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe => Alwil®Avast! Antivirus

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe => Sunbelt®Kerio Personal Firewall

C:\PROGRA~1\WANADOO\EspaceWanadoo.exe => Wanadoo®Pack FAI

C:\PROGRA~1\WANADOO\ComComp.exe => FT®Wanadoo

C:\PROGRA~1\WANADOO\Watch.exe => France Télécom®Wanadoo

C:\Program Files\Shareaza\Shareaza.exe => Shareaza P2P Client

C:\Program Files\Windows Live\Mail\wlmail.exe => Microsoft®Windows Live Mail

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE => firefox.exe

C:\Program Files\ZebHelpProcess 2\ZHP2.exe => Coolman Zeb Help Process

C:\Program Files\WinRAR\WinRAR.exe => WinRAR

C:\WINDOWS\system32\wbem\wmiprvse.exe => Microsoft®Windows NT WMI

 

 

Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs

 

Valeur de clé de registre modifiée (R0)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

Valeur de clé de registre créée (R1)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

 

Création d'une valeur supplémentaire là ou seule une valeur est attendue (R3)

R3 - URLSearchHook: P2P Torrent Toolbar - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - C:\Program Files\P2P_Torrent\tbP2P_.dll => Infection Diverse

 

Analyse des autres lignes (Others)

 

Browser Helper Objects (O2)

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll => Javacool SpywareGuard

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll => SpyBot Search&Destroy

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) => Microsoft MSN/WLM

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll => Microsoft - Windows Live Login Helper

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll => MSN Toolbar

O2 - BHO: (no name) - {9EDCA253-0DF3-446A-97A8-03A0A2B5DE34} - (no file)

O2 - BHO: P2P Torrent Toolbar - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - C:\Program Files\P2P_Torrent\tbP2P_.dll => Infection Diverse (ADSPY/Shopper.V)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll => msntb.dll (Barre d'outils MSN)

O2 - BHO: (no name) - {cca4d423-0115-47f0-a698-d8811b75a758} - (no file)

 

Internet Explorer Toolbars (O3)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll => MSN Toolbar

O3 - Toolbar: P2P Torrent Toolbar - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - C:\Program Files\P2P_Torrent\tbP2P_.dll => Infection Diverse

 

Applications démarrées automatiquement par le registre (O4)

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe => Synaptics®Touchpad

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE => Realtek®Avance Logic Sound

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRA~1\SPYWAR~3\SpywareTerminatorShield.exe" => Crawler®Spyware Terminator

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe => Alwil®Avast! Antivirus

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot => Real Networks®Real Player

O4 - HKLM\..\Run: [Anniversaire] C:\Program Files\Anniversaire\AlerteAnniversaire.exe => Kiriasse Logiciels®Anniversaire

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') => Microsoft®Windows NT

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') => Microsoft®Windows NT

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe => Operators®Modem Fast 800-840

 

Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 => Microsoft Office Excel

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm => Logitech Bluetooth

 

Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll => Sun Java Runtime

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll => Sun Java Runtime

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe => BitDefender®On Line Scanner

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe => BitDefender®On Line Scanner

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm => Belkin - Bluetooth

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm => Belkin - Bluetooth

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe => Microsoft - Windows Messenger

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe => Microsoft - Windows Messenger

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

Objets ActiveX (aka Downloaded Program Files)(O16)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll => Yahoo!

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab => BitDefender - OnLine Antivirus

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

 

Piratage de domaine (Lop.com) (O17)

O17 - HKLM\System\CCS\Services\Tcpip\..\{69FE21EE-8562-46AE-A294-C78E4F906F03}: NameServer = 81.253.149.9 80.10.246.132

 

Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)

O20 - Winlogon Notify: ddesreg - ddesreg.dll (file missing)

O20 - Winlogon Notify: kbdftp - kbdftp.dll (file missing)

 

Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe => Lavasoft AB®Ad-Aware 2007

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe => OSA®Notebook Manager Service

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe => Alwil®Avast! Antivirus

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe => ATI®Cartes graphiques

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe => Alwil®Avast! Antivirus

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe => Alwil®Avast! Antivirus

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe => Alwil®Avast! Antivirus

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe => Grisoft®AVG AntiSpyware

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe => Widcomm®Bluetooth Software

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe => Canon®Camera Access

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe => GoogleUpdaterService.exe (Google Updater Service)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe => Macrovision®InstallShield

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe => Sunbelt®Kerio Personal Firewall

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~3\sp_rsser.exe => Crawler®Spyware Terminator

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe => TuneUp Software GmbH®TuneUp Utilities

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe => Broadcom® Wireless LAN Tray

 

Lignes traitées 112/114

[pear]

Bonjour,

 

* .

 

Télécharger BTFix de Bibi26

* Dézipper l'archive sur le Bureau.

* Ouvrir le dossier BTFix.

* Double cliquer sur BTFix.exe.

* Cliquer sur Rechercher.

* Un rapport va apparaître, copier/coller dans la prochaine réponse.

 

 

Puis,si le rapport n'est pas propre, lancer à nouveau BTFix

*Le nettoyage doit être fait en mode sans échec.

 

* Cliquer sur Nettoyer.

* Un rapport va apparaître, copier/coller dans la prochaine réponse

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas:

Démarrer->Exécuter

Copiez/collez ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

 

et un nouveau rapport Hijackthis.

Modifié le 1 mai 2008 par pear

[hieronimus]

Bonjour,

 

* .

 

Télécharger BTFix de Bibi26

* Dézipper l'archive sur le Bureau.

* Ouvrir le dossier BTFix.

* Double cliquer sur BTFix.exe.

* Cliquer sur Rechercher.

* Un rapport va apparaître, copier/coller dans la prochaine réponse.

 

 

Puis,si le rapport n'est pas propre, lancer à nouveau BTFix

*Le nettoyage doit être fait en mode sans échec.

 

* Cliquer sur Nettoyer.

* Un rapport va apparaître, copier/coller dans la prochaine réponse

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas:

Démarrer->Exécuter

Copiez/collez ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

 

et un nouveau rapport Hijackthis.

 

 

 

 

Merci pour ton aide,

Voila le rapport :

 

BTFix 1.060 (par bibi26) - 01/05/2008 11:12:47 - Analyse

Lancé depuis C:\Documents and Settings\Laurent\Bureau\btfix_btfix_1.057_francais_42579\BTFix\BTFix.exe

 

---> Fichiers/Dossiers trouvés

 

- C:\Program Files\Fichiers communs\WhenU

 

---> Analyse terminée

[pear]

Et la suite ?