demande d'analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d'analyse

Messagede cloud » 10 Fév 2006, 10:14

Bonjour , voici le rapport demandé:


Édité
Suite de: http://assiste.forum.free.fr/viewtopic.php?t=10621


Logfile of HijackThis v1.99.1
Scan saved at 10:16:14, on 10/02/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\INTEL\PSNCU INTEL\CPUNUMBER.EXE
C:\PROGRAM FILES\SOFTWIN\BDHOME\LMGUI.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIAJCKTHIS\HIJACKTHIS VERSION FRANçAISE\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: LostGoggles plug-in (web site preview snapshots - www.lostgoggles.com) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - C:\PROGRAM FILES\LOSTGOGGLES\LGOGGLES.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [AVX Communicator] C:\WINDOWS\SYSTEM\XCOMMSVR.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AvxIni] c:\program files\softwin\bdhome\avxinit.exe
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\PSNCU Intel\CPUNumber.exe" /nosplash
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Murphy Shield.lnk = C:\Program Files\SOFTWIN\BDHome\lmgui.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.fr
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Messagede cloud » 18 Fév 2006, 09:57

Bonjour, personne ne peut m'aider ?
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Messagede nickW » 18 Fév 2006, 13:33

Bonjour,

Comme Pierre avait répondu à ton premier message, et comme je n'aime pas du tout que plusieurs personnes interviennent sur la même analyse, je n'ai pas suivi ta demande.
Pierre étant largement occupé (après 8 mois d'absence), je me permets de te demander d'effectuer la manip suivante:

Recherches dans le Registre
Aller sur http://www.billsway.com/vbspage/ et descendre jusqu'à Registry Search Tool
Télécharger RegSrch.zip, le décompresser dans un dossier qui lui est réservé (par exemple C:\Program Files\RegSrch).

Lancer RegSrch.vbs en faisant un clic droit dessus et en choisissant "Ouvrir avec l'invite de commandes".
S'il y a une alerte en provenance de l'antivirus, accepter l'exécution de la totalité du script une seule fois.

Taper sbsoft dans la zone Enter search string... puis cliquer sur OK.

Laisser le script tourner (jusqu'à 5 minutes); Une petite fenêtre annonce le nombre d'occurrences trouvées.
Cliquer sur OK pour copier le résultat dans Wordpad.
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous sbsoft1.txt).

Refaire la même opération en tapant {08bec6aa-49fc-4379-3587-4b21e286c19e} dans la zone Enter search string
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous sbsoft2.txt).

Copier le contenu de ces deux fichiers sbsoft1.txt et sbsoft2.txt en réponse.

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede cloud » 19 Fév 2006, 09:43

Bonjour , merci de ton aide.
Voici les2 rapports demandés:

REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 19/02/06 09:35:26 for strings:
; 'sbsoft'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 19/02/06 09:42:22 for strings:
; '{08bec6aa-49fc-4379-3587-4b21e286c19e}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=hex:aa,c6,be,08,fc,49,79,43,35,87,4b,\

; End Of The Log...
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Messagede nickW » 21 Fév 2006, 00:42

Bonsoir,

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Création du fichier tuer-sbsoft.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-sbsoft.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{08BEC6AA-49FC-4379-3587-4B21E286C19E}"=-





Étape 2: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 3: Utilisation du fichier tuer-sbsoft.reg
Faire un clic droit sur tuer-sbsoft.reg, dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 4: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis

Indiquer aussi
*- s'il y a eu un message lors de l'étape 3 et quelle en était la teneur,
*- si sbsoft est toujours détecté.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede cloud » 25 Fév 2006, 10:52

Bonjour nickW.
que veut dire "ouvrir une session avec les droits administrateur ?
J'ai bien copier/coller et enregistré le fichier sous tuer-sbsoft.reg avec wordpad , puis enregistré dans mes documents.
Mais que veut dire " choisir tous les fichiers dans la liste déroulantes.....?
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Messagede nickW » 25 Fév 2006, 19:12

Bonsoir,

Oups :oops:
Droits Administrateur---->ceci est valable pour XP.
Un copier-coller trop rapide.
Donc tu démarres normalement.

La liste déroulante existe dans Notepad (le Bloc-notes), mais apparemment pas dans Wordpad.
L'important est que l'extension du fichier soit .reg et non .reg.txt

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede cloud » 26 Fév 2006, 10:30

Bonjour , à mon avis je n'ai pas fait correctement la procédure. Lorsque je veux fusionner en mode sans echec , un message dit :
impossible d'importer le fichier n'est pas un script du registre.
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Messagede nickW » 26 Fév 2006, 14:46

Bonjour,

Peux-tu copier en réponse le contenu de ton fichier tuer-sbsoft.reg

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede cloud » 04 Mar 2006, 10:24

Bonjour , impossible , une boite de dialogue " editeur du registre " s'ouvre avec ce message:

impossible d'importer C:\MESDOC 1\TUER-S 2.REG: le fichier spécifié n'est pas un script du Registre.
Vous ne pouvez importer que des fichiers du Registre.
cloud
 
Messages: 13
Inscription: 05 Fév 2006, 10:41

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités