Demande d'analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse de log

Messagede H » 22 Nov 2004, 20:41

Bonjour,

Un vilain est allé promener un des ordinateurs de mon Lycée non protégé (et ce n'est sans doute pas un élève...) sur un site qui nous donne maintenant la célèbre page atout:blank avec un Search for. :frown:
Voici le log d'Hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 19:18:48, on 22/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SYMTRAY.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAM FILES\THINKPAD\UTILITIES\TPW95TB.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB09.EXE
C:\PROGRAM FILES\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\WINDOWS\SYSTEM\HPHMON05.EXE
C:\PROGRAM FILES\PRIMAX\POWERTWAIN\PMXDETECT.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAM FILES\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\1036\MSOFFICE.EXE
C:\Program Files\Norton SystemWorks\Norton CleanSweep\Monwow.exe
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PLUS\AD-WATCH.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\MES DOCUMENTS\INFORMATIQUE\HIJACKTHIS.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = =%3D
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AEB49981-2DA7-11D9-901D-00106ED61536} - C:\WINDOWS\SYSTEM\HLPAJMA.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [TPW95TB] C:\PROGRA~1\THINKPAD\UTILIT~1\TPW95TB.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [Barre d'état système] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\SYSTEM\HPHMON05.EXE
O4 - HKLM\..\Run: [Scan Detector] C:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AWMON] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PLUS\AD-WATCH.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Program Files\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegistry
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2\STMS.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O11 - Options group: [Accessibilité] Accessibilité
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2001 ... scan53.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O18 - Filter: text/html - {ADC0D960-3BFA-11D9-901D-0010C2D66F3F} - C:\WINDOWS\SYSTEM\HLPAJMA.DLL
O18 - Filter: text/plain - {ADC0D960-3BFA-11D9-901D-0010C2D66F3F} - C:\WINDOWS\SYSTEM\HLPAJMA.DLL

J'ai besoins de vos conseils éclairés. J'ai en particulier un doute sur le a840.g.akamai.net
Merci
H
Avatar de l’utilisateur
H
 
Messages: 4
Inscription: 22 Nov 2004, 20:33
Localisation: Nantes

Messagede Sebastien.B » 22 Nov 2004, 20:50

Slt,

Le log a été soumis à un robot:
http://hijackthis.de/logfiles/005f1c958 ... 04c2e.html

Attention ne pas faire confiance à 100% aux résultats.

As-tu appliqué La Manip?

Il y a un paquet de soft inutiles au démarrage...

Plus que douteux: C:\WINDOWS\SYSTEM\HLPAJMA.DLL

J'ai en particulier un doute sur le a840.g.akamai.net

Il s'agit du scan en ligne de secuser donc non malsain.

Peux-tu aller faire un scan en ligne ici (clique sur "to continue without suscribing") et nous poster le rapport sur le forum:
www.ravantivirus.com/scan
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede H » 23 Nov 2004, 00:38

Bonsoir,
Merci pour ta réponse, et bien vu pour HLPAJMA.dll reconnu comme Trojan par Ravantivirus dont voici le rapport:

Scan started at 22/11/04 23:02:56

Scanning memory...
C:\windows\SYSTEM\HLPAJMA.DLL - Trojan:Win32/StartPage.IX -> Infected
C:\windows\SYSTEM\bamjjma.dll - Trojan:Win32/StartPage.IX -> Infected
C:\windows\TEMP\sp.html - Trojan:HTML/Starpage* -> Infected
C:\windows\Temporary Internet Files\Content.IE5\O9Y7OHUJ\WebInstall[1].dll - TrojanDownloader:Win32/WebInstall.A.dam#2 -> Infected
C:\windows\Temporary Internet Files\Content.IE5\K9SFWVUJ\WebInstall[1].dll - TrojanDownloader:Win32/WebInstall.A.dam#2 -> Infected

Scanned
============================
Objects: 22326
Directories: 1489
Archives: 975
Size(Kb): -1092083
Infected files: 5

Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 126

Je vais m'occuper de ces fichiers et entreprendre la manip de suite.

merci encore
H
Avatar de l’utilisateur
H
 
Messages: 4
Inscription: 22 Nov 2004, 20:33
Localisation: Nantes

Messagede Sebastien.B » 24 Nov 2004, 00:19

SLt,

Alors où en es-tu?
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede H » 24 Nov 2004, 23:03

Bonjour,
J'ai réussi à retirer cette cochonnerie :D en effaçant les fichiers infectés détectés par le scan antivirus puis en effectuant la manip. Du coup, on m'a demandé de m'occuper d'un autre ordinateur du lycée également contaminé. J'ai suivi la même méthode, sauf que j'ai trouvé 3 pages! de fichiers infectés par divers trojans. Et cékikikiva se les enlever à la main? Bibi!
Apparemment, la personne qui a contaminé le système est allé se promener sur des sites pornos :oops: , en utilisant les ordinateurs du réseau de l'administration, qui ne sont pas protégés en termes de connection, alors que ceux du réseau pédagogique élève le sont au niveau du serveur académique. Comme quoi...
En tout cas merci pour ton aide :wink: , cela m'a remis le pied à l'étrier. Je ne risquai de désinstaller ces saletés uniquement en trouvant la valeur de la base de registre. Ravantivirus est remarquablement efficace.
H
Avatar de l’utilisateur
H
 
Messages: 4
Inscription: 22 Nov 2004, 20:33
Localisation: Nantes

Messagede Sebastien.B » 24 Nov 2004, 23:31

Slt,

:)
Tiens moi au courant si tu as des problèmes avec le 2ème ordinateur.
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede H » 24 Nov 2004, 23:35

No problemo, tu seras le premier informé si je ne m'en sort pas!
:wink:
Avatar de l’utilisateur
H
 
Messages: 4
Inscription: 22 Nov 2004, 20:33
Localisation: Nantes


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités

cron