[OK] Le log du "problème très bizarre"

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Le log du "problème très bizarre"

Messagede Didier » 18 Avr 2006, 21:04

Bonsoir à toutes et à tous,

voici le log HijackThis que j'ai pu in extremis récupéré (juste avant un redémarrage...):

Logfile of HijackThis v1.99.1
Scan saved at 19:52:44, on 18/04/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\c2Ft\command.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINNT\system32\regsvc.exe
C:\WINDOWS\dll\rundll32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINDOWS\secure.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\scvhost.exe
C:\WINNT\System32\winamp.exe
C:\windows\mousepad12.exe
C:\WINNT\System32\jxyerzsk.exe
C:\WINNT\System32\internat.exe
C:\PROGRA~1\FICHIE~1\quru\qurum.exe
C:\Program Files\ltci\ppba.exe
C:\PROGRA~1\FICHIE~1\quru\qurua.exe
C:\Documents and Settings\SAMUEL\Mes documents\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={637F8C33-2DCD-698C-970E-BBC9C9E7E556}&type=normal&mSkip=1&rnd=9971
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Security Service] C:\WINDOWS\secure.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard12.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad12.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname12.exe
O4 - HKLM\..\Run: [ccoetokmkgwrhxmf] C:\WINNT\System32\xzzjpvl.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows DLL Loader] C:\WINDOWS\dll\rundll32.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\System32\netveyw.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\RunServices: [ccoetokmkgwrhxmf] C:\WINNT\System32\xzzjpvl.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [quru] C:\PROGRA~1\FICHIE~1\quru\qurum.exe
O4 - HKCU\..\Run: [Ohte] "C:\Program Files\ltci\ppba.exe" -vt yazr
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O20 - Winlogon Notify: DH - C:\WINNT\system32\jt4007hme.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\c2Ft\command.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe
O23 - Service: Windows Security Service (WindowsSecurity) - Unknown owner - C:\WINDOWS\secure.exe

Voilà je suspecte pas grand chose puisque je suis pas un pro ^^ mais les 09, ça je crois que j'ai compris que c'était pas bien... bref je préfère encore me taire.

En vous remerciant toujours et encore avec le plus profond respect que ressent le jeune padawan envers ses grands maîtres Jedi.

Didier, illuminé...

PS: à titre indicatif le problème de base est le redémarrage intempestif de l'ordinateur même éteint, maintenant c'est qu'il s'arrète avec des messages d'erreurs sans le moindre sens, avec compte à rebours "avant la fin du monde".
"Je crois que vous m'avez mal sous estimé"

G.W Bush
Didier
 
Messages: 22
Inscription: 17 Jan 2005, 15:05

Messagede nickW » 19 Avr 2006, 01:05

Bonsoir,

Waoouuuhhh! Quel beau log! :wink:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 8).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Antivirus
Comme il n'y a pas d'antivirus,
Télécharger Antivir PersonalEdition Classic depuis la page: http://www.free-av.com/antivirus/allinonen.html
L'installer.

Très important
Le paramétrer comme indiqué sur cette page: http://speedweb1.free.fr/frames2.php?page=tuto5 <i>(Merci Tesgaz)</i>

Important
Faire une mise à jour.



Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire), puis sur Démarrer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Stinger
Télécharger Stinger v2.6.0 depuis la page: http://vil.nai.com/vil/stinger/
Placer le fichier stng260.exe dans un dossier qui lui sera réservé, par exemple C:\Program Files\stinger


Étape 6: F-Bot
Télécharger l'utilitaire de désinfection de F-Secure: http://www.f-secure.com/tools/f-bot.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\fbot


Étape 7: F-Bot
Lancer F-Bot d'un double clic sur F-Bot.exe
Noter le résultat.


Étape 8: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 9: Fichier hosts
Dans l'Explorateur, aller jusqu'au dossier C:\winnt\system32\drivers\etc
Faire un clic droit sur le fichier hosts (sans extension) et choisir Propriétés.
Si nécessaire, décocher les cases devant les Attributs (Lecture seule et Caché), puis OK.
Renommer ce fichier hosts en hosts.non


Étape 10: Services
Arrêter quatre services:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Command Service
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINNT\c2Ft\command.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Faire de même avec Network Monitor, avec comme fichier exécutable C:\Program Files\Network Monitor\netmon.exe

Faire de même avec Windows DLL Loader, avec comme fichier exécutable C:\WINDOWS\dll\rundll32.exe

Faire de même avec Windows Security Service, avec comme fichier exécutable C:\WINDOWS\secure.exe


Étape 11: Stinger
Exécuter Stinger (double clic sur stng260.exe).
Noter le résultat.


Étape 12: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse).

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={637F8C33-2DCD-698C-970E-BBC9C9E7E556}&type=normal&mSkip=1&rnd=9971
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Security Service] C:\WINDOWS\secure.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard12.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad12.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname12.exe
O4 - HKLM\..\Run: [ccoetokmkgwrhxmf] C:\WINNT\System32\xzzjpvl.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows DLL Loader] C:\WINDOWS\dll\rundll32.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\System32\netveyw.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\RunServices: [ccoetokmkgwrhxmf] C:\WINNT\System32\xzzjpvl.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [quru] C:\PROGRA~1\FICHIE~1\quru\qurum.exe
O4 - HKCU\..\Run: [Ohte] "C:\Program Files\ltci\ppba.exe" -vt yazr
O20 - Winlogon Notify: DH - C:\WINNT\system32\jt4007hme.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\c2Ft\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe
O23 - Service: Windows Security Service (WindowsSecurity) - Unknown owner - C:\WINDOWS\secure.exe


Étape 13: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 14: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse
Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:

C:\WINDOWS\dll en dll.non
C:\Program Files\ltci en ltci.non
C:\Program Files\Fichiers communs\quru en quru.non
C:\WINNT\c2Ft en c2Ft.non
C:\Program Files\Network Monitor en NetworkMonitor.non


Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINNT\System32\scvhost.exe en scvhost.exe.non--->Faire très attention au nom exact du fichier

C:\WINNT\System32\winamp.exe en winamp.exe.non
C:\WINNT\System32\xzzjpvl.exe en xzzjpvl.exe.non
C:\WINNT\System32\netveyw.exe en netveyw.exe.non
C:\WINNT\system32\jt4007hme.dll en jt4007hme.dll.non

C:\WINDOWS\secure.exe en secure.exe.non
C:\windows\keyboard12.exe en keyboard12.exe.non
C:\windows\mousepad12.exe en mousepad12.exe.non
C:\windows\newname12.exe en newname12.exe.non


Étape 15: Nettoyage
Exécuter l'antivirus Antivir, paramétré comme indiqué.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 16: Redémarrage
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido
*- le résultat d'Antivir
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Didier » 19 Avr 2006, 07:49

Merci, merci :Mouaaarrrrffffffff:

Euh le hic est le suivant: on est en win 2000 mais l'ordinateur est normalement configuré en win xp, c'est pourquoi il n'y a pas d'antivirus ici et que IE n'est pas à jour, est ce que de nettoyer 2000 permettra de relancer xp? Même rien qu'en mode sans echec?

Parce que là il est tellement pourriboule que je me demande si ça vaudra la peine de reprendre xp aprés avoir nettoyé (décapé) 2000.

Enfin si lors du nettoyage je peux installer Kaspersky et mettre à jour son IE pour prendre les updates de son antivirus devrai je le faire? (je sais elle paraît pas très française ma phrase)

Et une dernière question: la ligne 01 est particulièrement costeaude comment cela s'est il installé? A titre personnel j'aimerai bien savoir comment ça marche, pas pour savoir comment il se l'ait chopé mais ce qui provoque cette série de liens à la manque.

Merci beaucoup nickW pour cette (très) rapide réponse,

Didier, fiou ben au boulot moi... :wink:
"Je crois que vous m'avez mal sous estimé"

G.W Bush
Didier
 
Messages: 22
Inscription: 17 Jan 2005, 15:05

Messagede Jim Rakoto » 19 Avr 2006, 08:00

Salut

Pour ta ligne 01, c'est le ver (Agobot sans doute) qui a modifié ton fichier Hosts pour bloquer en fait l'accès à toutes les mises à jour des sites repris dans la liste.

C'est pourquoi une série d'utilitaires permettent de surveiller et/ou de bloquer ce fichier Hosts pour éviter ce genre de mésaventure.

Certains vers peuvent également "tuer" le fonctionnement de l'AV, du pare-feu, d'un antispyware....

Et donc, là aussi certains utilitaires surveillent les modifications des composants des programmes installés.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

un pc plombé des le départ

Messagede z6po » 17 Mai 2006, 13:41

bonjour a tous et merci pour votre aide, pour cette fois et celle d'avant, car Didier est en fait l'intermediaire entre moi et vous. Il s'agissait en fait de moi qui ai un problème avec mon pc. Acheté d'okaz il fut vérolé des le départ, comme je ne l'ai pas formaté des le début, les problème était je pense sous jacent.

Cette fois par contre les malware ont eu raison de ma patience. Malgres vos efforts, je n'ai pas pu récupérer ma machine, le ver en question se "reproduisait" sans cesse un peu partout dans mon systeme, à un moment donné lors de la desinfection il y eu plus de 8000 alertes lors d'un scan !

Ne pouvant le prendre par uncun bout et n'ayant pas vraiment de donné que je souhaitais récuperer a tous prit j'ai décidé de le formater (le disque dure) cela mrche mainteant a merveille grace à tout les logiciels gratuits dont vous parlez je me sens plus en sécurité (mais c'est relatif je sais bien)

Merci encore pour votre aide et désolé de ne pas avoir répondu plus tot pour vous dire que le problème c'était reglé.
A bientot
z6po
 
Messages: 1
Inscription: 17 Mai 2006, 13:33
Localisation: France Paris


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités

cron