demande d analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d analyse de log

Messagede riri226 » 28 Fév 2006, 19:31

bonjour
je suis envahi de pages qui se superposent a mon site
le traitement par adware spybot ou avast ne donne rien
voici mon log hijackthis
si vous pourriez jeter un oeil
merci d avance
A+
riri2626
Logfile of HijackThis v1.99.1
Scan saved at 19:16:14, on 28/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - {07E2F1C1-1C77-30DB-22E5-678340ABCFCD} - C:\WINDOWS\system32\kxdkgm.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.be
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao_med.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\q4nule591h.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
riri226
 

Messagede nickW » 01 Mar 2006, 00:26

Bonsoir,

Remarque préliminaire 1:

Cesse d'envoyer de nouveaux sujets identiques l'un après l'autre! (j'en ai verrouillé quatre au moins!)
Tu n'auras pas de réponse plus rapidement, bien au contraire.
Si tu crées encore un nouveau sujet, je le supprimerai immédiatement sans le lire.
Il faut cliquer sur le bouton "Répondre" pour enregistrer ton nouveau message, et attendre.



Remarque préliminaire 2:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.
Si tu le laisses tel qu'il est actuellement, sur le bureau, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 7).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Spybot-S&D
Mettre à jour Spybot-S&D.
Ne pas exécuter le balayage maintenant.


Étape 4: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
*- Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 5: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 6: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 7: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 8: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, le signaler en réponse).

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)--->Trace du parasite eUniverse/IncrediFind
R3 - URLSearchHook: (no name) - {07E2F1C1-1C77-30DB-22E5-678340ABCFCD} - C:\WINDOWS\system32\kxdkgm.dll--->Noms aléatoires, sûrement une cochonceté
O16 - DPF: {00000000-0000-0000-0000-000020030000} - --->Ajouté par le numéroteur 7AdPower
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe--->Ajouté par le numéroteur Trafficadvance
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\q4nule591h.dll


Étape 9: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).



Étape 10: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINDOWS\system32\kxdkgm.dll en kxdkgm.dll.non
C:\WINDOWS\system32\q4nule591h.dll en q4nule591h.dll.non


Étape 11: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 12: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

analyse de logs

Messagede riri2626 » 01 Mar 2006, 15:04

bonjour,

excusez moi pour ces maladresses involontaies! mais je ne maitrise pas toujours.
merci d'avoir répondu, je vais essayer de suivre votre démarche
A+ Riri2626
riri2626
 


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 23 invités

cron