analyse hijack : dites moi ou est ce fichu virus...

tornado · le 12 mai 2006

Salut repieloose,

je ne pourrai finaliser que mardi la desinfection donc prend ton temps pour repondre y a pas de stress^^

Ok, mais ça aurait été mieux de faire tout dans la foulée, mais de toute façon, c'est trop tard.

j ai bien suivi ton tuto, helas je connais pas bien les clefs de registre et c est difficile pour moi de capter les bonnes lignes a cocher avec jv16

je me suis abstenu de crainte de faire une betise et si le tutorial fourni avec est tres clair, il n identifie pas les problemes^^.

Tu peux supprimer toutes les clés vertes... y a pas de soucis.

Peut-être que tu préfères les explications présentées de cette façon :

-Télécharger jv16:

http://telechargement.zebulon.fr/201-jv16-powertools.html

-pour plus de détails=>son tutorial:

http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

Si c'est plus clair pour toi, je modifie la procédure

A+

tornado · le 13 mai 2006

Re,

Quand tu seras en mode sans échec, j'aimerais que tu repasses un coup de BFu, car l'activex a peut-être générer d'autres infections, qui ne sont pas présentes sur le log.

Maintenant, la procédure que tu dois suivre (j'ai inclu ce que tu n'avais pas terminé) donne cela (il te faut retélécharger l'outil car il est souvent mis à jour, surtout en ce moment) :

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

Débarasse toi avant tout du dossier C:\bfu pour ne pas que tu t'y perdes

=>Télécharge et installe les logiciels suivants

- Ewido anti-malware --> http://www.ewido.net/en/download/ (tu l'as apparemment désinstallé)

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

Sinon, tu peux suavegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi.

(A PART SI TU LES AS GARDE)

=> Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

--------------------------------------------------------------------------------------------------------

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

2/ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

3/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

Easycleaner

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

ATF-cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

Jv16 powertools

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

4/ Fais un scan avec Ewido:

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

5/ Répète l'étape 3/

6/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

A+ :-P

Modifié le 13 mai 2006 par tornado

repieloose · le 18 mai 2006

Salut tornado!!

J espere que tu vas bien!!

Bon je sais pas trop par ou commencer mais pas d inquietude le pc de mon collegue va beaucoup mieux.

Mon premier probleme : ewido refuse de se mettre a jour... alors la je sais pas trop si c est la connection du boulot qui la bloque (ca m etonnerai, vu qu on peut download des fichiers normalement mais emule refuse de se connecter et ca je suspecte le service informatique d y etre pour quelque chose...) ou alors j ai encore des hotes indesirables sur cette becane!

pour palier a ca voici le rapport ewido pas mis a jour, mais il m a quand meme virer quelques merdes lors d un precedent scan en mode normal, du coup celui ci et tout clean:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 17:01:36, 18/05/2006

+ Somme de contrôle: DF794604

+ Résultats du scan:

Pas de fichiers infectés trouvés!

::Fin du rapport

et un nouveau highjack tout frais:

Logfile of HijackThis v1.99.1

Scan saved at 17:04:01, on 18/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\STDSB.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\NCLAUNCH.EXe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Sandy\Bureau\Davi\Nouveau dossier\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sTDSB] C:\WINDOWS\System32\STDSB.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: MySqlInventime - - (no file)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

sinon y a aussi un petit truc qui me tracasse, et je trouve pas d options pour regler ca:

quand j allume l ordi et qu il arrive sur windows, il ne m affiche pas directement le fond d ecran mais un fond d ecran precedent. Puis il finit par afficher le bon fond d ecran mais toutefois le fond texte des icones n est pas transparent... impossible de remettre ca comme avant. C est assez difficile a expliquer, j espere que tu comprendra de quoi je parle, sinon je tenterai d etre plus clair sur mon prochain post.

Autre petite mesaventure rencontrer: trayapp! en fait apres avoir lancer les logiciel de clean et jv16 en mode sans echec, j ai eu un probleme avec les logiciels de l imprimante trois en un de mon ami au redemarrage. Mais ca c est regler, j ai tout desinstaller.

Sinon j ai pas mal bidouiller mon pc avec les outils (parfois dangereux j avoue^^) que tu me fais utiliser et ca tourne mieux!

Starter est vraiment bien pour bloquer les processus chiant du demarrage.

Du coup j envisage serieusement a me former sur la desinfection pc.

Je dois avouer que j en appris beaucoup grace a vous^^

en tout merci pour ton attention et ta patience tornado

a bientot

tornado · le 18 mai 2006

Salut repieloose,

Ton rapport hijackthis est propre, beau boulot

Mon premier probleme : ewido refuse de se mettre a jour... alors la je sais pas trop si c est la connection du boulot qui la bloque (ca m etonnerai, vu qu on peut download des fichiers normalement mais emule refuse de se connecter et ca je suspecte le service informatique d y etre pour quelque chose...) ou alors j ai encore des hotes indesirables sur cette becane!

Je suppose que le pc est connecté à un réseau ? (connexion partagée, et normalement portégée par un routeur) Peut-être est-ce pour cela qu'il n'y a pas de pare-feu d'installé sur ton pc ?

Faudrait plutôt chercher de ce côté ...

Euh au fait, Antivir réussit il à se connecter pour faire les màj ?

Sinon, évite d'utiliser ce fameux logiciel de p2p ... souvent source d'infection. Lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544

Je ne sais pas si le scan Ewido a vraiment de la valeur, étant donné que tu n'as pas pu faire les màj ...

Tu peux cependant télécharger les pack de màj séparément ; pour cela, rend toi sur cette page --> http://www.ewido.net/en/download/updates/, choisis Full database et clique sur Download

Installe ensuite le fichier télécharger, refais un scan avec Ewido... et poste le rapport.

Ajoute au rapport ewido un rapport du scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

A+

PS:

sinon y a aussi un petit truc qui me tracasse, et je trouve pas d options pour regler ca:

quand j allume l ordi et qu il arrive sur windows, il ne m affiche pas directement le fond d ecran mais un fond d ecran precedent. Puis il finit par afficher le bon fond d ecran mais toutefois le fond texte des icones n est pas transparent... impossible de remettre ca comme avant. C est assez difficile a expliquer, j espere que tu comprendra de quoi je parle, sinon je tenterai d etre plus clair sur mon prochain post.

J'aimerais bien t'aider... mais je vois pas exactement d'où peut provenir le problème... peut-être une application qui bloque. Un peu d'optimisation ferait peut-être du bien (on en reparlera si tu veux)

Sinon j ai pas mal bidouiller mon pc avec les outils (parfois dangereux j avoue^^) que tu me fais utiliser et ca tourne mieux!

Starter est vraiment bien pour bloquer les processus chiant du demarrage.

Du coup j envisage serieusement a me former sur la desinfection pc.

Je dois avouer que j en appris beaucoup grace a vous^^

Fais quand même attention...

Une petite description de starter ---> http://assiste.free.fr/assiste.com.html?ht...uff_starter.php

A+ :-P

Modifié le 18 mai 2006 par tornado

repieloose · le 19 mai 2006

Salut tornado^^

enfin on commence a voir le bout du tunnel!

mais reste une petite zone d ombre: panda m a trouver un petit truc! je te mets les rapports de suite:

le panda

Incident Statut Analyse

Outil indésirable:application/winantivirus2006 No Désinfecté hkey_local_machine\software\WinAntiVirus Pro 2006

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sandy\Cookies\sandy@xiti[1].txt

le ewido

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 15:42:21, 19/05/2006

+ Somme de contrôle: 4CF4C936

+ Résultats du scan:

C:\Documents and Settings\Sandy\Cookies\sandy@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer sans sauvegarder

C:\Documents and Settings\Sandy\Cookies\sandy@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer sans sauvegarder

C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Nettoyer sans sauvegarder

::Fin du rapport

le hijack

Logfile of HijackThis v1.99.1

Scan saved at 17:11:50, on 19/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\STDSB.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\NCLAUNCH.EXe

C:\WINDOWS\system32\LVComS.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe

C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\taskmgr.exe