[Résolu] Analyse log HijackThis

alain2 · le 19 mars 2006

Bonsoir tornado,

Voilà :-P c'est fait , avec JV16, qui est trés bien, je ne me suis contenté, pour l'instant, de supprimer les clés de registre invalides qui ne représentaient pas de risques car je n'ai pas oser aller trop loin pour l'instant...

Au sujet de PS2.exe qui n'est plus dans le registre, je ne dois pas l'y remettre ?

A propos de mes 3 antispywares, je voudrais garder microsoft antispyware juste pour scanner seulement il est en anglais et je sais pas comment désactiver le scan en temps réel... ok pour Spybot je pense l'avoir bien configuré... Mais alors quel doit etre donc ce 3ème antispyware ? Je sais plus

Enfin je poste le log d'ewido et le dernier log HijackThis, version light

Merci bien et bonne soirée.

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 19:39:15, 19/03/2006

+ Somme de contrôle: BAD2D871

+ Résultats du scan:

C:\Program Files\Yahoo!\YPSR\Quarantine\ppq97.tmp -> TrackingCookie.Weborama : Nettoyer et sauvegarder

::Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 19:59:53, on 19/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo I.E.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

tornado · le 19 mars 2006

Salut alain2,

Voilà icon_smile.gif c'est fait , avec JV16, qui est trés bien, je ne me suis contenté, pour l'instant, de supprimer les clés de registre invalides qui ne représentaient pas de risques car je n'ai pas oser aller trop loin pour l'instant...

Tu as bien fait, les clés rouge sont à supprimer manuellement...

Au sujet de PS2.exe qui n'est plus dans le registre, je ne dois pas l'y remettre ?

Pourquoi as-tu finalement supprimé ps2.exe ? Il est légitime, bien que peu utile... (configuration des touches additionnelles de ton clavier) Ou alors c'est moi qui n'ai pas compris ce que tu voulais dire...

A propos de mes 3 antispywares, je voudrais garder microsoft antispyware juste pour scanner seulement il est en anglais et je sais pas comment désactiver le scan en temps réel... ok pour Spybot je pense l'avoir bien configuré... Mais alors quel doit etre donc ce 3ème antispyware ? Je sais plus icon_biggrin.gif

Pour microsoft antispyware, je crois qu'en allant dans l'onglet "realtime protection" de la fenêtre principale (après quelques recherches), tu peux désactiver la protection en temps réel. M'enfin, comme je ne l'utilise pas... Tu peux aisémement le désinstaller et le remplacer par un meilleur antispyware tel qu'Ad-aware, qui, couplé avec les scans de Spybot, fait un très bon boulot...

Tu peux télécharger ad-aware ici --> http://www.lavasoft.nu/software/adaware/

Et également le pack de langues --> http://download.lavasoft.de.edgesuite.net/public/pllangs.exe

Pour installer le pack de langues, lis les instructions présentes sur cette page --> http://www.pcastuces.com/logitheque/adaware.htm

Sinon, le 3ème antispyware dont je parlais est Spyware doctor. Je dirais que ce n'est pas le top... Ad-aware et spybot font largement l'affaire...

Par ailleurs, ton nouveau rapport hijackthis est propre... j'aimerais cependant que tu fasses le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, sauve le rapport puis colle-le dans ton prochain post

A+

Modifié le 19 mars 2006 par tornado

alain2 · le 20 mars 2006

Salut tornado,

Non pour le Ps2.exe je l'ai seulement supprimé du registre mais pas le fichier...

Ensuite pour ad-aware je l'ai installé depuis pas mal de temps déjà et j 'en suis trés content car l'interface en version française est trés compréhensible pour un débutant et donc efficace.

J'ai aussi installé Spyware Blaster comme le préconnise Spybot.

J'ai aussi A² avec la licence jusqu'à l'an 3000;) en français qui m'a déjà trouvé et nettoyé quelques bestioles.

Spyware doctor je l'ai réinstallé l'autre jour pour scanner...( voir mon 1er post) mais c'est vrai qu'en version d'évaluation il ne désinfecte pas, je l'ai donc à nouveau (re)désinstaller.

Quand au scan de panda, j'y suis allé avec IE (sinon j'utilise Mozilla firefox autant que je peux, apparement il faut que je fasse un tour dans le forum zébulon qui parle de ses extensions pour msn par firefox etc...) donc je n'ai pas fait ce scan à cause de ce fameux WINCTX! que microsoft antispyware détecte plus vite qu'Avast, ne voulant pas m'infecter le pc en désactivant mes sécurités, je voudrais savoir, avant, quel est ce WINCTX exactement ...

Autre question d'actualité à propos de mon pare-feux ZoneAlarmPro j'arrive à son terme d'évaluation je pense, l'acheter car je le trouve vraiment bien ... Mais l'est-il réellement ? (par exemple ce fameux port 113 qui est fermé? )

tornado · le 20 mars 2006

Salut,

J'ai oublié de te préciser qu'il fallait désactiver la protection résidente d'avast avant le scan de panda.

Ce "WinCTX" n'est pas infectieux, étant l'activex nécessaire au scan... mais avast le reconnaît comme tel. C'est une fausse alerte d'avast, que l'éditeur n'a pas encore corrigé

Sinon, ok pour les différents antispywares

Pour davantage sécuriser Firefox (avec différentes extension), jette un coup d'oeil à cet article de Mégataupe --> http://forum.zebulon.fr/index.php?showtopic=69628

Pour le pare-feu... pas trop la peine de l'acheter... il existe une version gratuite, tout aussi efficace --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html. (pour ce fameux port 113, ce n'est pas un risque de sécurité)

Néanmoins, elle comporte des incompatibilités avec Avast... je te conseillerais plutôt de te tourner vers un autre Firewall, qui est également gratuit, simple et compatible avec Avast : Kerio personal firewall. Même si au bout de 30 j, tu perds quelques fonctions (filtrage web), cela n'affecte pas la sécurité de ton pc,

du moment que ta navigation est sûre et sécurisée (cf Firefox et ses extensions)

Tu peux télécharger Kerio ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html

Et le configurer à l'aide de ce tuto --> http://www.vulgarisation-informatique.com/kerio.php (tu vas voir, c'est pas compliqué :-P )

Faut que j'y aille (les cours )... a+ :-(

Modifié le 20 mars 2006 par tornado

alain2 · le 20 mars 2006

Bien le bonsoir tornado,

Voilà je suis aller vite fait sur le scan panda j'ai stoppé micro. antisy. et web avast...mais v'la ti pas qu'il m'ouvre une fenetre me demandant mon nom d'utilsateur et mon mot de passe ( c'est une petite fenetre du genre avec avec Windows Explorer ...exécuter en tant que... (un truc que j'ai jamais vraiment bien compris car il y avait des pages en pagaille à lire et comme ce n'était pas passionant pour 2 sous j'ai zappé) ... et donc il va falloir que je trouve le moyen d'y arriver, seulement pour l'instant, je ne sais pas encore comment je vais faire ...mais bon ça ne doit pas etre bien compliqué, juste un petit contre temps :-P

tornado · le 20 mars 2006

Salut,

Voilà je suis aller vite fait sur le scan panda j'ai stoppé micro. antisy. et web avast...mais v'la ti pas qu'il m'ouvre une fenetre me demandant mon nom d'utilsateur et mon mot de passe icon_biggrin.gif ( c'est une petite fenetre du genre avec avec Windows Explorer ...exécuter en tant que... (un truc que j'ai jamais vraiment bien compris car il y avait des pages en pagaille à lire et comme ce n'était pas passionant pour 2 sous j'ai zappé) ... et donc il va falloir que je trouve le moyen d'y arriver, seulement pour l'instant, je ne sais pas encore comment je vais faire icon_rolleyes.gif ...mais bon ça ne doit pas etre bien compliqué, juste un petit contre temps icon_wink.gif

Je suppose que la fenêtre en question correspond à l'installation du contrôle activex... jette un coup d'oeil à ce tuto --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

Voilà, quand Windows te signale si tu veux installer le programme (le contrôle activex), accepte...

Bonne chance

Modifié le 20 mars 2006 par tornado

alain2 · le 21 mars 2006

Salut,

Je viens pour faire part de mes dernières trouvailles de bestioles en tous genres

Donc si la fenetre d'indentification sur le scan en ligne de Panda ne s'ouvre plus, le site me dit de patienter quelques secondes le temps qu'il charge...mais il ne démarre jamais :-P

Alors comme il y a la possibilité aussi de scanner en ligne avec Kaspersky, je me suis permis d'en faire un.

Il me trouve des trucs, des machins... Je ne sais pas du tout comment procéder car c'est en anglais...

Doi-je désinstaller moi-meme les fichiers incriminés, d'autant plus qu'il y a dans les chemins des références à Spybot Search and destroy et adware ?

Je colle le rapport de Kaspersky et j'attend des nouvelles avant de faire quoi que ce soit :-(

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, March 21, 2006 2:05:32 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 21/03/2006

Kaspersky Anti-Virus database records: 183241

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

Scan Statistics

Total number of scanned objects 124472

Number of viruses found 2

Number of infected objects 4

Number of suspicious objects 2

Duration of the scan process 01:11:48

Infected Object Name Virus Name Last Action

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus2.zip/RestartApp.exe Suspicious: Password-protected-EXE skipped

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus2.zip ZIP: suspicious - 1 skipped

C:\System Volume Information\_restore{D7AEF27E-251E-434F-8471-67CC925E0801}\RP73\A0008742.dll Infected: not-a-virus:AdWare.Win32.SearchIt.o skipped

C:\System Volume Information\_restore{D7AEF27E-251E-434F-8471-67CC925E0801}\RP74\A0012132.exe/stream/data0016 Infected: not-a-virus:AdWare.Win32.SearchIt.o skipped

C:\System Volume Information\_restore{D7AEF27E-251E-434F-8471-67CC925E0801}\RP74\A0012132.exe/stream Infected: not-a-virus:AdWare.Win32.SearchIt.o skipped

C:\System Volume Information\_restore{D7AEF27E-251E-434F-8471-67CC925E0801}\RP74\A0012132.exe NSIS: infected - 2 skipped

Scan process completed.

tornado · le 21 mars 2006

Salut,

Tu as bien fait de faire le scan en ligne de Kaspersky, il est tout aussi efficace que son "concurrent" et vu que Panda n'en fait qu'à sa tête

Doi-je désinstaller moi-meme les fichiers incriminés, d'autant plus qu'il y a dans les chemins des références à Spybot Search and destroy et adware ?

Nan... ce n'est pas la peine. Certains font partie des sauvegardes de Spybot (ps: ne confond pas Ad-aware et Adware) donc peuvent être supprimées depuis le logiciel en question... et d'autres sont des malwares qui ont touché ta restauration système (cf le chemin C:\System Volume Information ).

On va s'en occuper :

1/ Lance Spybot - Search & Destroy.

- Va dans l'onglet "Sauvegardes"

- Sélectionne tous les élément présents dans le "rectangle blanc"

- Clique sur "Purger les éléments sélectionnés"

- Quitte Spybot

2/ Désactive puis réactive ta restauration système, de la manière suivante --> http://www.libellules.ch/desactiver_restauration.php

3/ Refais le scan de Kaspersky et poste le rapport

NB: Ajoutes-y un nouveau rapport hijackthis en mode normal

A+ et bonne chance

Modifié le 21 mars 2006 par tornado

alain2 · le 22 mars 2006

Salut tornado,

Ok j'ai bien fait tout ce que tu m'as conseillé de faire dans l'ordre, le scan total de mon pc par Kaspersky ne détecte plus de virus, tout est vert ( cette fois il était en français en plus seulement pour le post, je suis désolé, mais apparement je ne pouvais pas créer de rapport ( peut-etre parce que celui-ci était vide de composants indésirables ? )

Je colle le log HitjackThis, peux tu me dire, s'il te plait, ce que tu en pense à présent.

Merci.

Logfile of HijackThis v1.99.1

Scan saved at 01:36:04, on 22/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\ALCWZRD.EXE

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo I.E.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll