[resolu] analyse rapport

[Y@nosh]

bonjour a vous cher lecteur,

 

aujourd'hui nouveauté sur mon pc des pop up en veux tu en voila....

 

apres un procedure de nettoyage pre infecté, antivir n'a rien trouvé.. ... et oui rie...

 

 

je vous pose mon rapport hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 10:09:32, on 15/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\outlook\outlook.exe

C:\WINDOWS\system32\winlog.exe

C:\windows\winsysupd8.exe

C:\windows\winsysban8.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\MediaKey\Versato.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\MediaKey\MePlayer.exe

C:\Program Files\MediaKey\OSD.EXE

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\system32\sessmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Documents and Settings\Minou\a.exe

C:\Documents and Settings\Minou\Mes documents\hijack\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd8.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban8.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138486905702

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

il ya trop de choses a mon gout..

messenger mais je suis amsn ?

gimmygames et son pote winsysupd8.exe

si j'ai bien compris je dois les cocher sur hijack pour les annuler

 

et je viens de faire le menage dans mon menu demarrage...

 

 

bonne lecture

 

votre obligé vous souhaite une bonne nuit

Modifié le 15 février 2006 par Y@nosh

[bruce lee]

bonjour,

ton log est pas mal infecté!

analyse en cours retour dans une bonne demie heure.

[bruce lee]

re,

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

lance hijackthis en cliquant sur do a scan system only coche et clique sur fixchecked

 

O4 - HKLM\..\Run: [winlog] winlog.exe

O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd8.exe

O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban8.exe

O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe

O4 - HKLM\..\RunServices: [winlog] winlog.exe

 

quitte hijackthis.

 

demarrer,poste de travail,outil, options des dossiers, onglet affichage

et tu coches afficher les fichiers et dossiers cachés, tu appliques puis tu cliques sur ok

 

supprimes ce qui est en gras:

C:\WINDOWS\system32\ winlog.exe

C:\windows\ winsysupd8.exe

C:\windows\ winsysban8.exe

C:\Documents and Settings\Minou\ a.exe

C:\\ gimmygames.exe

 

 

lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

redemarre en mode normal et fais:

 

demarrer executerservices.msc reperes France Telecom Routing Table Service

double cliques dessus et a type de demarrage tu choisis désactivé .

 

repost un log hijackthis et le rapport de ewido.

Modifié le 15 février 2006 par bruce lee

[Y@nosh]

bonjour et merci a toi bruce,

 

je pensai que ad-aware me decrassais mon pc mais alors ce cher ewido a fais plus que cela sur a peu pres 3000 fichiers infecté par Worm.VB.dw

 

donc je ne vais pas posté le rapport a par une ligne qui me gene un peu:

C:\Program Files\outlook\outlook.exe -> Worm.VB.dw : Nettoyer et sauvegarder

C:\Program Files\outlook\p.zip/Setup.exe -> Worm.VB.dw : Nettoyer et sauvegarder

C:\Program Files\outlook\v.tmp -> Worm.VB.dw : Nettoyer et sauvegarder

 

 

on parle bien du meme outlook?

 

voici mon rapport hjt:

Logfile of HijackThis v1.99.1

Scan saved at 16:48:31, on 15/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Minou\Mes documents\hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138486905702

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

j'ai fait un peu de menage comme tu me l'as dis? qu'en penses tu?

 

derniere chose : pourquoi m'as tu dis d'arreter le service france telecom? ...je l'ai fais comme un gars bien discipliné quand un maitre me parle mais je veux bien comprendre pourquoi?

 

merci a toi etton efficacité légendaire bruce

Modifié le 15 février 2006 par Y@nosh

[bruce lee]

re,

 

pourquoi m'as tu dis d'arreter le service france telecom?

 

c'est un service ajouté en douce qui peut entrainer des disfonctionnements sur ta machine.

 

 

déconnecte toi du net et ferme toutes les applications en cours.

 

fais:

demarrer executer services.msc reperes France Telecom Routing Table Service

double cliques dessus et a type de demarrage tu choisis désactivé

et repost un log je te prie.

 

ou en sont tes problemes?

[Y@nosh]

bonjour et merci a toi bruce,

 

je pensai que ad-aware me decrassais mon pc mais alors ce cher ewido a fais plus que cela sur a peu pres 3000 fichiers infecté par Worm.VB.dw

 

donc je ne vais pas posté le rapport a par une ligne qui me gene un peu:

C:\Program Files\outlook\outlook.exe -> Worm.VB.dw : Nettoyer et sauvegarder

C:\Program Files\outlook\p.zip/Setup.exe -> Worm.VB.dw : Nettoyer et sauvegarder

C:\Program Files\outlook\v.tmp -> Worm.VB.dw : Nettoyer et sauvegarder

on parle bien du meme outlook?

 

voici mon rapport hjt:

Logfile of HijackThis v1.99.1

Scan saved at 16:48:31, on 15/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Minou\Mes documents\hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138486905702

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

j'ai fait un peu de menage comme tu me l'as dis? qu'en penses tu?

 

derniere chose : pourquoi m'as tu dis d'arreter le service france telecom? ...je l'ai fais comme un gars bien discipliné quand un maitre me parle mais je veux bien comprendre pourquoi?

 

est ce que tu peu regarder ma liste de processus en cours sur

http://img102.imageshack.us/img102/8540/sanstitre1xv.png

merci a toi et ton efficacité légendaire bruce

 

 

desole bruce on vient de se croiser sur la toile:

 

voici mon der des der rapports

 

Logfile of HijackThis v1.99.1

Scan saved at 17:58:04, on 15/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\MediaKey\Versato.exe

C:\Program Files\MediaKey\MePlayer.exe

C:\Program Files\MediaKey\OSD.EXE

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Documents and Settings\Minou\Mes documents\hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138486905702

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

et peux tu me dire si il n'y a rien dans mes processus en cours de bizarres

http://img102.imageshack.us/img102/8540/sanstitre1xv.png

 

bonne reception

[bruce lee]

re,

j'ai verifier ton log il est propre et ta liste de processus ne me parait pas suspecte.

as tu encore des problemes?

[Y@nosh]

remerci a toi

 

non tout va bien je n'ai plus de problemes

 

au plaisir de t'entendre de nouveau

[bruce lee]

re,

content que le forum zebulon est pu t'aider.

Pense a cloturer la question en metant [résolu] devant.

bonne soirée.

Modifié le 15 février 2006 par bruce lee

[Y@nosh]

comment fait on cela?