Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

analyse de mon log


Messages recommandés

bonjour,

j'ai quelques problèmes avec mon pc il est lent et je sais que le spyware LOP.COM est installé dessus à cause de msn + :P:-(

 

quelqu'un pourrait-il analyser mon log svp le voici :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:12:11, on 09/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Piolet\Piolet.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.komudsxhcsgxyyinyausodgqp.com/s...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

 

merci pour votre aide :-P

Lien vers le commentaire
Partager sur d’autres sites

merci de m'avoir répondu c'est gentil, alors voilà mon nouveau log peux tu me donner s'il te pait :P

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:24:49, on 09/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

merci !

Lien vers le commentaire
Partager sur d’autres sites

Invité tesgaz

bon, je répond plus tard parce que là, je vais manger

 

donc, sii quelqu'un veut analyser le log à ma place qu'il ne se gène pas, sinon réponse dans 1 heure 1/2

pas avant, je prend mon temps :P

Lien vers le commentaire
Partager sur d’autres sites

Bon, pas sur que tu es bien compris car, pas de traces d'Antivir comme antivirus à utiliser dans la procédure et dossier Hijackthis dans un répertoire temporaire :

 

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

Tu vas devoir recommencer en suivant la procédure à la lettre, désolé.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir superprobleme, tesgaz, megataupe, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

On reconnais LOP à ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

(ces caractères aléatoires pour le domaine)

 

Comme le demande megataupe, déplace le programme HijackThis dans un répertoire dédié comme C:\Program Files\HijackThis sinon, tu risques de perdre le programme et ses fichiers de backup !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Lien vers le commentaire
Partager sur d’autres sites

Rebonsoir superprobleme, tesgaz, megataupe, rebonsoir à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

Pour Lop :

Lop peut détourner la page de démarrage et/ou installer une barre d'outils.

Lopremover sur http://www.thespykiller.co.uk/files/lopremover.exe

ou

Désinfection sur http://www.lop.com/new_uninstall.exe (page de démarrage)

ou http://lop.com/toolbar_uninstall.exe (toolbar)

ou http://66.220.17.157/new_uninstall.exe (page de démarrage)

ou http://66.220.17.157/toolbar_uninstall.exe (toolbar)

Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas !

ou http://www.thatcomputerguy.us/downloads/lo...w_uninstall.exe (page de démarrage)

ou http://www.thatcomputerguy.us/downloads/lo...r_uninstall.exe (toolbar)

--- passer le programme de désinstallation

--- changer la page de démarrage dans les options Internet

Lop.com se prétend régie marketing et est autorisée à implanter des spywares sous condition :

- obtenir l'autorisation des internautes

- fournir sur son site Web, un outil de désinstallation

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

- Piolet

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yspdadedkflobeflaqxv.com/s9w5Ly...GW2bwaFqTg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xtggddgsnkz.com/s9w5LyzU3BbEjwD...zJ/Z9fmYRM.html

 

O2 - BHO: (no name) - {678B1A2F-FB89-2D37-2979-5B6764A879D5} - C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake\Atom Inside.exe

 

O4 - HKLM\..\Run: [WINPROC AUDIT] C:\Windows\System32\Wscript.exe C:\OEMCUST\TOOLS\WIN32\WINPROC.VBS C:\CABS\SCRIPTS\PROCESS\AUDIT.SCR C:\DRIVERS\PROCESS.TXT /TRACE

Cette ligne peut être très dangereuse à moins que ce soit toi qui l'aies mise !

 

O4 - HKLM\..\Run: [internet meal plan meet] C:\Documents and Settings\All Users\Application Data\dale default internet meal\RemoteDumb.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

Est-ce du peer-to-peer ???

 

O4 - HKCU\..\Run: [ActivSurf] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe -ReportOnly

 

O4 - HKCU\..\Run: [admin amen] C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1\DEFAULTSTYLELOGO.exe

 

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_old.exe

 

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

 

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des éléments inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

et notamment C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\ins1.tmp\ActivS.exe

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

--- C:\DOCUME~1\PROPRI~1\APPLIC~1\elsecake (supprime le dossier)

--- C:\Documents and Settings\All Users\Application Data\dale default internet meal (supprime le dossier)

--- C:\Program Files\Piolet (supprime le dossier)

--- C:\DOCUME~1\PROPRI~1\APPLIC~1\GLUEPU~1 (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Ceci concerne le nettoyage dans une optique malware ; tu peux maintenant aller au delà en demandant une optimisation de ton système !

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...