demande d'analyse svp

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d'analyse svp

Messagede hus » 13 Fév 2008, 12:12

Bonjour je pense avoir des problémes avec webcheck et trojan....
merci de m'aider

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:49, on 13/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\a-squared Anti-Dialer\a2service.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = simon
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/i ... ection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

--
End of file - 5627 bytes
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede nickW » 14 Fév 2008, 00:21

Bonsoir,

Ce log ne montre rien de "méchant".


Pourrais-tu expliquer ce que signifie "je pense avoir des problémes avec webcheck et trojan.... "?

*- messages d'erreur, lesquels?
*- alertes de l'antivirus, lesquelles?
*- résultats de recherche par l'anti-spyware, lesquels?
*- fenêtres de publicité, lesquelles?
*- autres symptômes, lesquels?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hus » 14 Fév 2008, 08:51

Bonjour, et merci

ayant effectue une recherche sur mon poste avec a-squared HiJackFree celui ci m'indique 2 problemes que je n'arrive pas à resoudre,

dans autostart je trouve Webcheck qui est en rouge et qui indique CONE C ou f

et dos high umb qui indique Adware dowloader trojan

jen'arrive pas à les supprimer

que faire merci
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede hus » 14 Fév 2008, 12:58

voici le détail
Propriétés du fichier:

Nom du fichier:webcheck.dll
Chemin du fichier:C:\WINDOWS\system32\Description:Web Site Monitor

Société:
Microsoft Corporation

Version:7.00.6000.16608 (vista_gdr.071204-1500)Copyright:© Microsoft Corporation. All
rights reserved.
Détails du processus:

Tourne comme service:non

Démarré via autostart:Oui

Informations en ligne:Description:Added by the CONE.C or CONE.F WORMS!Statut:Mauvais
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede hus » 14 Fév 2008, 13:21

la suite et merci encore de m'apporter la lumiere
Propriétés du fichier:


Nom du fichier:
stobject.dll

Chemin du fichier:C:\WINDOWS\system32\


Description:Objet du service d'environnement Systray
Société:Microsoft CorporationVersion:5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Détails du processus:
Tourne comme service:NonDémarré via autostart:Oui

Informations en ligne:Description:Added by the KERGEZ.A WORM!Statut:Mauvais
Description:
Winfavorites adware
Statut:Mauvais
Description:Added by the DLOADER-LQ TROJAN!
Statut:
Mauvais

Description:SYSTRAY.EXE - System Tray Services. Provides the Volume Control, PC Card Status, Power Management and other icons that reside in the System Tray (see here). SYSTRAY.EXE may be disabled if none of these services are required. It will launch as and when required if you later enable the icons. If you need these items they're available via Start -> Settings -> Control Panel

Statut:
BonDescription:Added by an unidentified TROJAN!Statut:MauvaisDescription:Added by the RBOT-AJY WORM!Statut:Mauvais
Description:
Added by the STEFAN WORM! Note - make sure you check the hyperlink as this one copies it's self to numerous dirves and folders

Statut:Mauvais
Description:Added by the SOAD-D WORM!

Statut:MauvaisDescription:Added by the RAJILO-A WORM!Statut:Mauvais
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede nickW » 15 Fév 2008, 01:05

Bonsoir,

Sur le site de EMSI Software (a-squared HiJackFree), recherche de Webcheck:
http://www.hijackfree.com/en/autorunlis ... h=webcheck

Le résultat montre que le malveillant a pour nom WebCheck et pour commande WebCheck.pif
Il ne s'agit pas de WebCheck.dll qui est légitime!
http://www.castlecops.com/o21list-60.html


Quant à la seconde question, je ne comprends pas pourquoi tu parles de la ligne: DOS=HIGH,UMB

Le processus SysTray dont la commande est C:\WINDOWS\System32\stobject.dll est lui aussi légitime!
http://www.castlecops.com/o21list-61.html

Note: Ces deux processus sont lancés par des clés de Registre de type:
O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] C:\WINDOWS\System32\webcheck.dll .....
O4 - HKLM\..\ShellServiceObjectDelayLoad: [SysTray] C:\WINDOWS\System32\stobject.dll .....

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hus » 15 Fév 2008, 14:06

bonjour,et un grand merci pour tes recherches et ton aide,j'avoue que je me pose des questions sur les resultats du logiciel a-squared HiJackFree
qui me signale ces fichiers surligné rouge et jaune et en autostarts + le suivant

dos

Propriétés du fichier:

Nom du fichier:high, umb

Chemin du fichier:Information Description:Version:
non disponible


Tourne comme service:NonDémarré via autostart:OuiDescription:Adware downloader trojan
Que faire .

:oops:
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede nickW » 17 Fév 2008, 01:08

Bonsoir,

Je suppose que la ligne DOS=HIGH,UMB est détectée dans le fichier C:\Config.sys.

Ce fichier Config.sys est légitime, même s'il n'est plus indispensable sous Windows XP.

Les trois détections de a-squared HiJackFree que tu as signalées sont donc des faux positifs.


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hus » 17 Fév 2008, 12:39

Bonjour, et merci
effectivement pour le fichier dos il est detecte dans Config.sys.mais il indique Adware dowloader trojan tu m'indique qu'il n'est plus indispensable sous xp ,peut t'on l'enlever et comment,pour les autres détéctions elles sont des faux positifs ce n'est possible que sur un ordinateur ,?car un ami utilise aussi a-squared HiJackFree et xp et pour lui tout est impec....
hus
 
Messages: 27
Inscription: 26 Nov 2007, 19:14
Localisation: tourcoing

Messagede nickW » 18 Fév 2008, 00:36

Bonsoir,

Le fichier Config.sys n'est pas indispensable à Windows XP, mais il est parfois nécessaire à certains programmes MS-DOS fonctionnant sous XP. A ta place, je n'y toucherais pas.

Quant aux différences avec ton ami, il faudrait vérifier si les versions du logiciel (a-squared HiJackFree) et de la base de signatures sont strictement identiques.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 32 invités

cron