Interprétation log Hijackthis

[Jackysent]

Bonjour à tous, je suis nouveau parmi vous et depuis que ma machine présente un certain nombre d'anomalies, je suis vos discussions concernant la sécurité.

Suite à ce que je peux lire de vos discussions, j'ai donc procédé aux divers traitements évoqués pour finir par passer ma machine à Hijackthis.

J'ai fais analyser le log par le robot présent sur www.hijackthis.de/fr, mais avant de toucher à quoique ce soit, j'aurai voulu d'autres avis éclairés car je suis un peu nul en matière de sécurité, et je ne vois pas la différence entre fixer, effacer (sur le disque, dans le registre ?) et surtout ce qu' il ne faut pas faire.

 

Avant de coller le log , j'ai besoin de savoir si vous accepteriez de le décortiquer et dans le cas de réponse positive, sous quelle forme vous le faire parvenir (aurais-je du le coller à la suite de ce message ou autrement).

Merci d'avance de votre aide (il n'y a pas le feu, ca fait des semaines que je rame avec mon PC ralenti, alors un peu plus un peu moins ...)

A bientôt.

Jacques

[megataupe]

Bonjour Jackysent et bienvenue sur le forum Zébulon sécurité

 

Si tu penses que ton PC est infecté, applique strictement la procédure suivante afin que nous puissions te répondre et apporter des solutions à tes dysfonctionnements.

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip )

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien :

http://minilien.com/?ZBcNwM6Om1

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'Hijackthis

 

-- créer un répertoire à la racine de C: soit C:\hijackthis et dézipper le programme précédemment téléchargé dans ce répertoire.

-- lancer HijackThis et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis va être enregistré dans C:\hijackthis (penser à rajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...)

NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) :

http://minilien.com/?UlNEISIMie

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

Modifié le 23 juin 2005 par megataupe

[Jackysent]

Merci de ces bons conseils. Je m'en tiens strictement à vos directives;

J'ai presque fini et actuellement je passe l'anti virus préconisé qui vient de trouver SPR/NewDotNet.A.1 qui me dis qu 'il ne pourra l'éradiquer qu' après redémarrage.

Malheureusement, il ne me dis pas si je dois redémarrer normalement ou en mode sans échec.

Jacques

Modifié le 23 juin 2005 par Jackysent

[Jackysent]

J'en suis à 42 minutes de balayage anti-virus et ce n'est pas fini.

Je vous tiens au courant de l'évolution.

Je suis à mon boulôt, donc j'ai un micro avec connexion pour les téléchargement et je met en application sur le portable posé à coté en mode sans échec.

Merci encore.

Jacques

Modifié le 23 juin 2005 par Jackysent

[megataupe]

Merci de ces bons conseils. Je m'en tiens strictement à vos directives;

J'ai presque fini et actuellement je passe l'anti virus préconisé qui vient de trouver SPR/NewDotNet.A.1 qui me dis qu 'il ne pourra l'éradiquer qu' après redémarrage.

Malheureusement, il ne me dis pas si je dois redémarrer normalement ou en mode sans échec.

Jacques

522731[/snapback]

 

Bien, tu suis la procédure jusqu'au bout, en redémarrant en mode normal. On pourra s'occuper de tes "cafards" (avec, s'il le faut un nouveau scan Antivir) après analyse du rapport Hijackthis.

[Jackysent]

Voici la première mouture du log après tous les traitements demandés.

J'espère ne pas trop vous importuner avec son interprétation.

En tous cas merci.

Jacques

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:32:39, on 23/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.630\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O1 - Hosts: 195.225.177.20 test.crutop.nu

O1 - Hosts: 195.225.177.20 test.master-x.com

O1 - Hosts: 195.225.177.20 test.umaxforum.com

O1 - Hosts: 195.225.177.20 test.separtnership.com

O2 - BHO: BHOMoneyGainer Class - {2559D0B1-AF60-4BD5-965D-0E51383A6367} - C:\WINDOWS\shginam.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [s3Hotkey] s3hotkey.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02

O4 - HKLM\..\Run: [sxgTkBar] SxgTkBar.exe

O4 - HKLM\..\Run: [s3TRAY2] S3Tray2.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [NaimAgent_UI] C:\Program Files\EPOAgent\naimag32.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {062F8D88-F204-11D8-ADFD-00062919A34C} (TelechargementPhS.ActiveXPhS) - http://www.monphotoservice.com/activeX/TelechargementPhS.CAB

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-18.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedCon...n/bin/cabsa.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1314CF24-5A69-47B2-BD07-7B682352C8A5}: NameServer = 192.168.40.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\fswsclds.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Agent NAI ePolicy Orchestrator (NAIMAGENT32) - Network Associates, Inc. - C:\Program Files\EPOAgent\naimas32.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)

O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

[megataupe]

Bon, tu as encore des restes de ce spy fort répandu en ce moment (Newdotnet) :

 

O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing

 

Attend que Tesgaz ou Stonangel analyse ce log pour te donner la marche à suivre moi, je ne fais (pour le moment) qu'une analyse en première lecture. Est-ce qu'Antivir t'a signalé avoir supprimé des parasites ?

[Jackysent]

Antivir a écrit un rapport je suppose.

Je peux le coller ici si besoin.

Comment m'adresser aux 2 personnes que vous me citez (Tesgaz et Stonangel) ?

A moins qu 'ils soient en veille permanete sur ces problèmes .

En tous cas, je suis quand-même rassuré de n'être plus seul avec ces problèmes qui me dépassent. Merci à tous qui m'aidez.

Jacques

[megataupe]

Tu peux envoyer le rapport d'Antivir si tu le trouves.

 

Comment m'adresser aux 2 personnes que vous me citez (Tesgaz et Stonangel) ?

A moins qu 'ils soient en veille permanete sur ces problèmes .

 

Ils ne sont pas là 24H/24 mais, ils ne devraient pas tarder à passer sur le forum.

[Jackysent]

Le voici !

Je pense que c'est le bon.

 

Creation date of the report file: jeudi 23 juin 2005 14:24

 

AntiVir®/XP (2000 + NT) PersonalEdition Classic

Build 1047 vom 07.06.2005

Mainprogram 6.31.00.03 of 10.05.2005

VDF file 6.31.0.101 (0) of 23.06.2005

 

 

This program is for PERSONAL USE only.

Any other use is PROHIBITED.

Informations regarding commercial versions of AntiVir may be obtained from:

www.hbedv.com.

 

 

Scanning for 181954 virus strains and unwanted programs.

 

Licensed for: AntiVir Personal Edition

Serial number: 0000149996-WURGE-0001

 

Please enter the workstation and

contact name with phone number in this form:

 

Name ___________________________________________

 

Street ___________________________________________

 

Town ___________________________________________

 

Phone/Fax ___________________________________________

 

Email ___________________________________________

 

Platform: Windows NT Workstation

Windows version: 5.1 Build 2600 (Service Pack 2)

Username: Administrateur

Processor: Pentium

Working memory: 522672 KB free

 

Version information:

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVEWIN32.DLL : 6.31.0.5 823808 06.06.2005 12:44:28

AVGNT.EXE : 6.31.00.01 168039 10.05.2005 16:50:16

AVGUARD.EXE : 6.31.00.01 238120 29.04.2005 08:07:12

GUARDMSG.DLL : 6.30.00.02 94248 01.02.2005 11:24:10

AVGCMSG.DLL : 6.31.00.00 295029 29.04.2005 08:07:16

AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:07:16

AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02

AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:20

AVWIN.DLL : 6.31.00.03 561192 10.05.2005 16:50:16

AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:22

AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:24:10

AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:24:10

AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:48

AVRep.DLL : 6.31.00.96 1183784 22.06.2005 15:38:30

INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:07:14

INETUPD.DLL : 6.31.00.02 143360 29.04.2005 08:07:14

CTL3D32.DLL : 2.31.000 27136 28.08.2001 15:00:00

MFC42.DLL : 6.02.4131.0 1028096 20.08.2004 01:09:30

MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408

MSVCRT.DLL : 7.0.2600.2180 343040 20.08.2004 01:09:34

CTL3DV2.DLL : No information

 

Configuration file:

 

Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI

Name of report file: C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG

Start path: C:\Program Files\AVPersonal

Command line:

Start mode: Self-test

 

Mode of report file:

[ ] Do not create report

[X] Overwrite report

[ ] Append new report

 

Data in report file:

[X] Infected files

[ ] Infected files with paths

[ ] All scanned files

[ ] Full information

 

Abridge report file:

[ ] Abridge report file

 

Warnings in report:

[X] Access denied/file locked

[X] Wrong file size in directory

[X] Wrong creation time in directory

[ ] COM file is too large

[X] Invalid start address

[X] Invalid EXE header

[X] Possibly damaged

 

Summary report:

[X] Create summary report

Output file: AVWIN.ACT

Maximum number of entries: 100

 

Where to search:

[X] Memory

[X] Boot record of selected drives

[ ] Report unknown boot sectors

[X] All files

[ ] Program files

 

Response in case of a detection:

[X] Repair with prompt

[ ] Repair without prompt

[ ] Delete with prompt

[ ] Delete without prompt

[ ] Write in report file only

[X] Acoustic alarm

 

Response in case of destroyed files:

[X] Delete with prompt

[ ] Delete without prompt

[ ] Ignore

 

Response in case of destroyed files:

[X] No change

[ ] Current system time

[ ] Correct date

 

Drag&drop settings:

[X] Scan subdirectories

 

Profile settings:

[X] Scan subdirectories

 

Archive options

[X] Search archive

[X] Archive types to leave out

1002 1001 1000

 

Miscellaneous options:

Temporary path: %TEMP% -> C:\Program Files\AVPersonal\BUILD.DAT

[X] Overwrite infected files

[ ] Detect idle time

[X] Allow interruptions of scan

[ ] Load AVWin®/NT Guard on System start

 

General settings:

[X] Save options on exiting AntiVir

Priority: medium

 

Initializing OK

Memory test OK

Master boot record of hard disk HD0 OK

Master boot record of hard disk HD1 OK

Boot record of drive C: OK

System files

boot.ini OK

pagefile.sys OK

System test: OK

Self-test: OK