Analyse, merci à tous !

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse, merci à tous !

Messagede zoreil » 11 Jan 2007, 13:10

bonjour,
les trois objets 021 me semblent louches, j'attends vos lumières :D
(aucun commentaire fait par l'analyse automatique).


Voici le log (oui, faut que je passe au sp2...)


Logfile of HijackThis v1.99.1
Scan saved at 13:04:29, on 11/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Kaspersky Anti-Virus Personal\avp.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
E:\Program Files\LookNStop\looknstop.exe
E:\Program Files\Kaspersky Anti-Virus Personal\avp.exe
E:\Program Files\Hijackthis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Look 'n' Stop] "E:\Program Files\LookNStop\looknstop.exe" -auto
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [kav] "E:\Program Files\Kaspersky Anti-Virus Personal\avp.exe"
O4 - HKCU\..\Run: [DS Clock] "E:\Program Files\DS Clock\dsclock.exe"
O4 - Startup: CoolMon.lnk = E:\Program Files\CoolMon\CoolMon.exe
O4 - Startup: DTemp.lnk = E:\Program Files\HDDTemp 1.00 build 34 (RC8)\DTemp.exe
O4 - Startup: Rainlendar.lnk = E:\Program Files\Rainlendar\Rainlendar.exe
O4 - Startup: YzDock.lnk = E:\Program Files\Yz_Docks\YzDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Anti-Virus Personal\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED}|%SystemRoot%\System32\webcheck.dll - (no file)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9}|%SystemRoot%\system32\SHELL32.dll| - (no file)
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153}|C:\WINDOWS\System32\stobject.dll| - (no file)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Anti-Virus Personal\avp.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



merci !
zoreil
 
Messages: 4
Inscription: 11 Jan 2007, 12:44

Messagede nickW » 12 Jan 2007, 00:26

Bonsoir,

Il s'agit de 3 composants de Windows qui ne devraient pas être "manquants".


Liste de quatre clés du Registre:

Étape 1: Création du fichier liste-O21.bat
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad) et enregistrer le fichier sous le nom de liste-O21.bat
Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .bat.txt, renommer le fichier en .bat
Code: Tout sélectionner
regedit /e c:\liste-regO21.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"
regedit /e c:\liste-CDBurn.txt "HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}"
regedit /e c:\liste-WebCheck.txt "HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
regedit /e c:\liste-SysTray.txt "HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}"



Étape 2: Utilisation du fichier liste-O21.bat
Faire un double clic sur liste-O21.bat (une petite fenêtre à fond noir va apparaître puis disparaître très rapidement).


Étape 3: Résultats
Copier dans un message en réponse le contenu des quatre fichiers c:\liste-regO21.txt, c:\liste-CDBurn.txt, c:\liste-WebCheck.txt et c:\liste-SysTray.txt


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede zoreil » 12 Jan 2007, 12:23

Bonjour,

Voilà le résultat de la manip :

-----------------------------------------------

liste-CDBurn

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
@="Dossier du Bureau pour l'écriture de CD"

[HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\MergedFolder]
"Attributes"="0x0"
"AttributeMask"="0xffffffff"
"Location"="@shell32.dll,-12589"
"ConflictOverlayIcon"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
2c,00,2d,00,32,00,33,00,32,00,00,00



-----------------------------------------------

liste-reg021


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}|%SystemRoot%\\System32\\webcheck.dll"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}|C:\\WINDOWS\\System32\\stobject.dll|"

-----------------------------------------------


liste-SysTray

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
@="SysTray"

[HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
@="C:\\WINDOWS\\System32\\stobject.dll"
"ThreadingModel"="Both"

-----------------------------------------------

liste-WebCheck

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
@="WebCheck"

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,65,00,\
62,00,63,00,68,00,65,00,63,00,6b,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

-----------------------------------------------

merci
:)
zoreil
 
Messages: 4
Inscription: 11 Jan 2007, 12:44

Messagede nickW » 13 Jan 2007, 01:07

Bonsoir,

Les trois fichiers:

webcheck.dll
SHELL32.dll
stobject.dll

existent-ils dans le dossier C:\WINDOWS\System32 ?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede zoreil » 13 Jan 2007, 10:44

bonjour,

oui, les 3 fichiers sont effectivement dans le dossier "system32"

:p
zoreil
 
Messages: 4
Inscription: 11 Jan 2007, 12:44

Messagede zoreil » 22 Jan 2007, 02:11

up

:Mouaaarrrrffffffff:
zoreil
 
Messages: 4
Inscription: 11 Jan 2007, 12:44


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités

cron