[résolu] Demande d'analyse et de petites explications

[Gof]

Ok, merci tornado.

 

Concernant le fichier Host, je ne l'ai pas moi modifié, mais avec spybot search & destroy il y a un onglet hosts qui permet de rajouter des hosts. Moi je ne l'ai pas fait, mais spybot oui.

 

Je vais mettre un petit peu de temps à faire tout ça, merci de m'avoir donné un peu du tien. Va falloir que je potasse encore beaucoup mon auto-analyse Hijackthis... A+ tard,

 

EDIT : pour ZA, vu que l'explorer a planté dès le démarrage, il n'est peut-être pas allé au terme de son processus...?

Modifié le 18 février 2006 par Gof

[Gof]

Bonjour à tous

 

Pas de soucis pour ZA dans MsConfig, et il apparait bien dans le rapport HijackThis également. Le plantage dès le démarrage doit le bloquer...?

Dossier Lycos vidé. La manipulation avec JV16 et la suppression des clés avec "searchbar" a été appliquée : 9 clés supprimées. Nettoyage registre à l'issue comme prescrit.

Désactivation de la restauration, Panda, réactivation. Rapport Panda :

 

 

Incident Statut Analyse

 

Adware:adware/exact.searchbar No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Casalemedia No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[.casalemedia.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\GOF\Application Data\Mozilla\Firefox\Profiles\nk8c0qqn.default\cookies.txt[]

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\RESTORE.INS[PSKILL.EXE]

Outil indésirable:Application/Pskill.A No Désinfecté C:\WINDOWS\system\RESTORE.INS[PSKILL.EXE]

 

Je vois que j'ai encore une signature dans le registre. On prend les mêmes et on recommence avec JV16 j'imagine ?

Par contre le PSKILL ... J'avais bien désactivé la restauration pourtant. Son adresse m'intrigue, la restauration c'est bien systeme volume restore ou un truc comme ça, non ? Ce n'est pas le cas là, non ?

Encore une question, j'ai déverrouillé et dans les outils IE et dans SSD le verrouillage de la page de démarrage IE, et j'ai toujours une O6 dans mon rapport, c'est normal ?

Quant à l'astuce de Sacles dans la BDR pour stabiliser, ou du moins limiter le plantage de l'explorer.exe, la valeur DWORD DesktopProcess à 1 existait déjà. Je suppose que c'était l'astuce intégrée à Zebutility que j'avais déjà utilisée.

 

Que de questions encore...

 

EDIT : pfff... J'avais oublié le nouveau rapport...Quel c..

 

Logfile of HijackThis v1.99.1

Scan saved at 08:34:27, on 19/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\a\Kill Process\KillProcess.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\a\Folding2\FAH504-Console.exe

C:\a\Folding2\FahCore_7a.exe

C:\a\Folding2\EMIII\EMIII.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O1 - Hosts: symbole '#'.

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

L'activeX pour le scan Panda en O16 je vais le garder je pense. Je vois que messenger!plus s'est mis en O20 suite au fixage en O23. Une autoréparation je suppose ? Pas de Teatimer en O4 pour l'instant, je ne l'ai pas réactivé. Désolé de l'oubli du nouveau rapport...

 

REEDIT : zut, j'ai écrit une bêtise. Pour le O20. Il n'a pas été fixé en O23, mais bien en O20. Il ne tournait donc plus. J'ai voulu le réactiver manuellement lors d'une session msn messenger, il m'a alors proposé de s'autoréparer et s'est remis en O20. Si je le fixe, il ne fonctionne plus à priori.

Modifié le 19 février 2006 par Gof

[Gof]

Re , je n'ai pas l'impression que les 2 RESTORE.INS soient dans une restauration. J'ai pu les scanner avec virustotal. Je les supprime comme ça, non ?

 

RESTORE.INS de c:\windows au scan de Virustotal. Le résultat :

 

Antivirus Version Update Result

AntiVir 6.33.1.50 02.18.2006 no virus found

Avast 4.6.695.0 02.16.2006 no virus found

AVG 718 02.17.2006 Potentially harmful program PsKill

Avira 6.33.1.50 02.18.2006 no virus found

BitDefender 7.2 02.19.2006 no virus found

CAT-QuickHeal 8.00 02.16.2006 NetTool.PsKill (Not a Virus)

ClamAV devel-20060126 02.17.2006 no virus found

DrWeb 4.33 02.18.2006 no virus found

eTrust-InoculateIT 23.71.80 02.18.2006 no virus found

eTrust-Vet 12.4.2086 02.17.2006 no virus found

Ewido 3.5 02.18.2006 no virus found

Fortinet 2.69.0.0 02.18.2006 HackerTool/PSKill

F-Prot 3.16c 02.17.2006 no virus found

Ikarus 0.2.59.0 02.17.2006 no virus found

Kaspersky 4.0.2.24 02.19.2006 no virus found

McAfee 4700 02.17.2006 potentially unwanted program RemAdm-PSKill

NOD32v2 1.1413 02.17.2006 no virus found

Norman 5.70.10 02.17.2006 no virus found

Panda 9.0.0.4 02.18.2006 Application/Pskill.A

Sophos 4.02.0 02.18.2006 no virus found

Symantec 8.0 02.19.2006 no virus found

TheHacker 5.9.4.098 02.18.2006 no virus found

UNA 1.83 02.16.2006 no virus found

VBA32 3.10.5 02.17.2006 no virus found

 

RESTORE.INS de c:\windows\system. Le résultat :

 

Antivirus Version Update Result

AntiVir 6.33.1.50 02.18.2006 no virus found

Avast 4.6.695.0 02.16.2006 no virus found

AVG 718 02.17.2006 Potentially harmful program PsKill

Avira 6.33.1.50 02.18.2006 no virus found

BitDefender 7.2 02.19.2006 no virus found

CAT-QuickHeal 8.00 02.16.2006 NetTool.PsKill (Not a Virus)

ClamAV devel-20060126 02.17.2006 no virus found

DrWeb 4.33 02.18.2006 no virus found

eTrust-InoculateIT 23.71.80 02.18.2006 no virus found

eTrust-Vet 12.4.2086 02.17.2006 no virus found

Ewido 3.5 02.18.2006 no virus found

Fortinet 2.69.0.0 02.18.2006 HackerTool/PSKill

F-Prot 3.16c 02.17.2006 no virus found

Ikarus 0.2.59.0 02.17.2006 no virus found

Kaspersky 4.0.2.24 02.19.2006 no virus found

McAfee 4700 02.17.2006 potentially unwanted program RemAdm-PSKill

NOD32v2 1.1413 02.17.2006 no virus found

Norman 5.70.10 02.17.2006 no virus found

Panda 9.0.0.4 02.18.2006 Application/Pskill.A

Sophos 4.02.0 02.18.2006 no virus found

Symantec 8.0 02.19.2006 no virus found

TheHacker 5.9.4.098 02.18.2006 no virus found

UNA 1.83 02.16.2006 no virus found

VBA32 3.10.5 02.17.2006 no virus found

 

Si ça peut aider ?

Modifié le 19 février 2006 par Gof

[tornado]

Re gof,

 

 

Oui je viens de voir sur d'autres forums qu'ils font supprimer ce restore.ins...

 

Redémarre en mode sans échec, puis supprime les fichiers en gras:

 

- C:\WINDOWS\RESTORE.INS

- C:\WINDOWS\system\RESTORE.INS

 

-Vide la corbeille

 

Pour la ligne 020 de messenger plus, elle peut-être fixée sans problème normalement...

 

Je te conseille de désinstaller Messengerplus puis de le réinstaller (fais attention à ne pas installer les sponsors)

Pour les restes dans le registre

 

On va procéder avec d'autres softs, sachant qu'ils sont complémentaires. Fais toutes ces manips en mode sans échec

• Avec Easy cleaner
  

-Télécharge Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

-Lance dans Easycleaner la fonction "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

• Avec Regseeker
  

- Télécharge"Regseeker" à cette adresse : http://telechargement.zebulon.fr/license-1-184.html

- Choisi la fonctions "find registry"

- Coche toutes les cases dans "keys" et "search options"

- Tape dans "search for" , "exact.searchbar" (sans les guillemets) et clique sur "search"

- Supprime les clés trouvées

 

- Ensuite nettoie globalement ton registre selon ce tuto --> http://cube10.free.fr/tuto/regseeker.html

- Ne supprime que les clés en vert

 

--------------------------------------------------------------------------------------------------------------------------

 

 

Redémarre en mode normal puis refais le scan de Panda.

Poste le rapport de ce scan ainsi qu'un nouveau rapport hijackthis.

 

A+

Modifié le 19 février 2006 par tornado

[Jack_Burton]

Bonjour a tous, bonjour Gof & Tornado

 

Gof, une fois que tu auras appliqué la procédure de Tornado, fais ceci :

 

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

*télécharge Hoster: http://www.funkytoad.com/download/hoster.zip

Dézippe le sur le bureau.

 

1/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O1 - Hosts: symbole '#'.

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr

 

O15 - Trusted Zone: http://download.windowsupdate.com

O15 - Trusted Zone: http://*.windowsupdate.com

 

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

4/ Ouvre Hoster et clique sur 'Restore original Hosts'

 

5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[Gof]

Re Tornado, Bonjour Jack

 

Je ne mange plus, je ne bois plus, je ne dors plus, je ne b..se plus... Ma consommation de café a quintuplé et je fume un paquet de cigarettes à l'heure... Je suis accro à Zebulon.fr ! Qu'est ce que je me fixe ?

 

Bon bon. J'arrête de dire des bêtises...

Donc j'ai filé en mode sans échec comme prescrit. Désinstallé messenger plus via le panneau de config - ajout / suppression de programmes. Supprimer les 2 RESTORE.INS et vider ma corbeille. Puis un petit nettoyage Easycleaner. Une recherche "exact.searchbar" avec regseeker, et un nettoyage de même.

 

Redémarrage en mode normal, téléchargement et "dezippe" de Hoster, et scan Panda. Le rapport :

 

Incident Statut Analyse

Adware:adware/exact.searchbar No Désinfecté Registre Windows

 

Arf... Je repasse en mode sans échec. Recherche avec Regseeker et JV16 de "exact.searchbar" : rien. Recherche toujours avec les 2 de "searchbar" : rien... (2 cafetières d'un coup-1 paquet d'un coup-sueurs froides). Un coup d'Ad-Aware SE Personnal : rien. J'en profite pour refaire un coup de nettoyage : ATF, les 2 cités, easycleaner, ccleaner. Puis j'applique la manip' de Jack. Le nouveau rapport HijackThis à l'issue :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:15:16, on 19/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program

Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH

- C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program

Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH -

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

 

Le rapport semble niquel... Toujours l'adaware. Bizarre non ? Et toujours l'assistant d'ajout de matériel à chaque démarrage (peut-être plus un pb software, question postée d'ailleurs). IDriverT.exe celui là m'intrigue toujours. Sacles m'a bien dit qu'il était légitime, mais cela fait peu de temps que je le vois dans mes processus.

J'ai eu un coup de pot, et il n'a pas planté au dernier démarrage: en allant au terme de son processus (explorer.exe), ZA s'est lancé.

 

Je ne connaissais pas ce Hoster, je suis ravi d'avoir fait sa connaissance. Donc à priori c'était SSD et son rajout Host qui justifiait la O1. Je n'ai pas ouvert IE là, mais j'imagine que dès que je l'ouvrirai je récupère mes 2 R0 fixées, non ?

 

Et, que voulait vérifier Jack ?

Modifié le 19 février 2006 par Gof

[Jack_Burton]

Et, que voulait vérifier Jack ?

Je voulais juste rétablir ton fichier host qui était éronné et t enlever les restrictions faites a Internet Explorer.

 

IDriverT.exe celui là m'intrigue toujours. Sacles m'a bien dit qu'il était légitime, mais cela fait peu de temps que je le vois dans mes processus.

Il est légitime mais non essentiel.

Tu peux le stopper si tu veux :

Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-InstallDriver Table Manager (IDriverT)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

Redémarrage en mode normal, téléchargement et "dezippe" de Hoster, et scan Panda. Le rapport :

 

Incident Statut Analyse

Adware:adware/exact.searchbar No Désinfecté Registre Windows

As tu l emplacement exact de l infection?

Modifié le 19 février 2006 par Jack_Burton

[Gof]

Merci de tes réponses Jack

 

D'accord pour IDriverT, mais je trouvais ça un peu surprenant de le voir alors que j'avais rien changé dans mes services.

 

Je n'ai pas l'emplacement exact de l'infection. J'ai collé le rapport Panda tel qu'il était. En tout depuis le début de ce topic, il y a eu 10 clés de supprimées qui correspondaient à "exact.searchbar" ou "searchbar". Je n'ai pas pensé à relever les emplacements exacts avant de supprimer avec JV16 et Regseeker... Par contre j'ai noté les emplacements dans leurs généralités quand je les avais supprimés (faut que j'arrive à me relire...) :

 

HKEY users

HKEY classes_root

HKEY local

HKEY current user

HKEY local machine

 

Je n'avais noté que ça.

[tornado]

Re Gof et Jack (merci )

 

 

HKEY users

HKEY classes_root

HKEY local

HKEY current user

HKEY local machine

 

Je n'avais noté que ça.

 

Aie, ça va pas nous aider. Ce sont les 5 sous parties du registre de Windows. Et vu qu'il y a des centaines de milliers de clés et valeurs de registre...

 

 

Je n'ai pas l'emplacement exact de l'infection. J'ai collé le rapport Panda tel qu'il était. En tout depuis le début de ce topic, il y a eu 10 clés de supprimées qui correspondaient à "exact.searchbar" ou "searchbar". Je n'ai pas pensé à relever les emplacements exacts avant de supprimer avec JV16 et Regseeker... Par contre j'ai noté les emplacements dans leurs généralités quand je les avais supprimés (faut que j'arrive à me relire...) :

 

-Est ce que si tu recherches à nouveau la ou les clés incriminés, Jv16 et regseeker te trouvent toujours des correspondances? Note les chemins des clés si c'est le cas, on les supprimera manuellement avec l'éditeur de registre (ou regedit)...

 

 

A+

Modifié le 19 février 2006 par tornado

[Gof]

Tu veux un kawa Tornado ?

 

Aucune correspondance avec Regseeker et JV16. A tout hasard, directement dans l'éditeur de registre en faisant rechercher, rien. Regsearch non plus...

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 19/02/2006 17:59:15 for strings:

; 'searchbar'

; 'exact.searchbar'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...