demande d'analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d'analyse de log

Messagede Woodruff » 22 Juin 2005, 11:24

Bonjour,
Aprés avoir été contaminé par le trojan smitfraud, je me suis renseigné sur le net et ayant éssayé plusieur fois de l'enlever en vain, j'en suis arrivé a faire un log par Hijackthis.

Voici le log :

Logfile of HijackThis v1.99.1
Scan saved at 12:15:35, on 22/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
M:\WINDOWS\System32\smss.exe
M:\WINDOWS\system32\winlogon.exe
M:\WINDOWS\system32\services.exe
M:\WINDOWS\system32\lsass.exe
M:\WINDOWS\system32\svchost.exe
M:\WINDOWS\System32\svchost.exe
M:\WINDOWS\system32\spoolsv.exe
M:\WINDOWS\Explorer.EXE
M:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
M:\WINDOWS\msmsgrxp.exe
M:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
M:\WINDOWS\System32\ctfmon.exe
M:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
M:\Program Files\eMule\emule.exe
M:\Program Files\Internet Explorer\IEXPLORE.EXE
M:\WINDOWS\System32\svchost.exe
M:\Program Files\Windows Media Player\wmplayer.exe
C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - M:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - M:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - M:\WINDOWS\system32\iasada.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - M:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)
O4 - HKLM\..\Run: [_Cat3] M:\WINDOWS\msmsgrxp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] M:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] M:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSGuard] M:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] M:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] M:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [eMuleAutoStart] M:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = M:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://m:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... YYYYYYYYUS
O8 - Extra context menu item: Download All Links with IDM - M:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - M:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://M:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://m:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://m:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://m:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - M:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - M:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - M:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - M:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 9504415001
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D5CBB35-7EAE-4E13-9746-4E07DE496C2F}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: C-DillaSrv - C-Dilla Ltd - M:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - M:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Ma priorité serait de supprimer toutes traces de smitfraud sur mon ordinateur mais n'ayant aucunes connaissances informatiques je vous serais trés reconnaissant si vous pouviez trouvés les eventuels problemes que mon ordinateur posséde et le moyen de les regler.

Dans l'attente d'une reponse et avec mes plus sincere salutations.

Cordialement
Woodruff
 
Messages: 1
Inscription: 22 Juin 2005, 11:03
Localisation: Var

Messagede Vazkor » 22 Juin 2005, 11:53

Bonjour,

Analyse en cours.

A+
Avatar de l’utilisateur
Vazkor
 
Messages: 9811
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 22 Juin 2005, 13:50

Bonjour,

Platform: Windows XP (WinNT 5.01.2600)
Windows XP doit absolument être mis à jour. Installer le SP1, voire le SP2, et tous les correctifs suivants.
Idem pour IE6. Faire les mises à jour. Utiliser WindowsUpdate

M:\WINDOWS\msmsgrxp.exe http://www.processlibrary.com/notfound/index.php Inconnu de la PacMan Une cochonnerie!

M:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe OK
U iwctrl iwctrl.exe
Par Pinnacle Systems, InstantWrite vous permet d'utiliser votre périphérique CD-R, CD-RW et DVD-RAM exactement comme un disque dur ou une disquette. Vous pouvez glisser-déposer des fichiers, créer de nouveaux répertoires directement sur votre CD-R, CD-RW ou DVD-RAM. Peut-être nécessaire si vous utilisez cette fonction régulièrement

R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file) Fixer, puisque le fichier manque
=> {87766247-311C-43B4-8499-3D5FEC94A183} X BHO Wtoolsb.dll HuntBar variant

O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file) Fixer, puisque le fichier manque
CLID inconnu de Sysinfo!

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) Fixer, puisque le fichier manque
=> {AA58ED58-01DD-4d91-8333-CF10577473F7} L BHO googletoolbar.dll
googletoolbar*.dll (* = number)
googletoolbar_en_*.**-big.dll
Googletoolbar_en_*.*.**-deleon.dll. Google toolbar qui est légitime mais endommagée.

O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - M:\WINDOWS\system32\iasada.dll Inconnu CLSID et dll inconnues de Sysinfo et Uniblue Fixer
D'après une analyse de Panda: Adware:Adware/AzeSearch C:\WINDOWS\system32\iasada.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) Fixer, puisque le fichier manque
=> {2318C2B1-4965-11D4-9B18-009027A5CD4F} L TB googletoolbar.dll
googletoolbar*.dll (* = digit)
googlenav.dll
googlenav*.dll
googletoolbar_en_*.**-big.dll
googletoolbar_en_*.*.**-deleon.dll Google Toolbar

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file) Fixer, puisque le fichier manque
CLSID inconnu de sysinfo

O4 - HKLM\..\Run: [_Cat3] M:\WINDOWS\msmsgrxp.exe Inconnu Fixer, puisque le fichier manque

Trouvé sur http://www.informationsarchiv.net/foren ... 16475.html:
O4 - HKLM\..\Run: [_Cat3] C:\WINNT\msmsgrxp.exe <--"Trojan-Downloader.Win32.Small.ahg"
et
2991. msmsgrxp.exe unidentified malware sur http://www.actualresearch.com/arunlist-150.html


O4 - HKLM\..\Run: [SunJavaUpdateSched] M:\Program Files\Java\jre1.5.0_02\bin\jusched.exe Inutile au démarrage

Vérifie sur le site des mises à jour de Sun Java pour voir si des versions plus récentes de Java sont disponibles. Allez sur http://java.sun.com ou lancez simplement le Panneau de configuration du plug-in Java

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Non dangereux, mais tout de même superflu.

Utilisé en liaison avec des vidages mémoire - vous pouvez les désactiver - en faisant un clic droit sur Poste de travail, en choisissant Propriétés puis l'onglet Avancé. Cliquez sur le bouton Paramètres dans 'Démarrage et récupération'. Dans le cadre du bas - sous 'Écriture des informations de débogage' - cliquez sur la flèche vers le bas puis choisissez 'aucun' - OK pour valider

O4 - HKLM\..\Run: [PSGuard] M:\Program Files\PSGuard\PSGuard.exe Another smitfraud variant. A fixer absolument
http://castlecops.com/s9434-PSGuard_exe.html


O4 - HKCU\..\Run: [CTFMON.EXE] M:\WINDOWS\System32\ctfmon.exe Probablement inutile

ctfmon ctfmon.exe CTFMon est impliqué dans les services d'entrée de language/alternative dans Office XP. CTFMON.exe va continuer à se remettre lui-même dans MSConfig lorsque vous lancez des applications Office XP tant que les applets Services Texte et Voix dans le Panneau de configuration sont activées. Non nécessaire si vous n'avez pas besoin de ces fonctions. Pour plus d'informations sur ctfmon voir ici http://support.microsoft.com/default.as ... ;fr;282599

O4 - HKCU\..\Run: [eMuleAutoStart] M:\Program Files\eMule\emule.exe -AutoStart Est-ce bien utile de le démarrer automatiquement?

O4 - Global Startup: Microsoft Office.lnk = M:\Program Files\Microsoft Office\Office10\OSA.EXE Parfaitement inutile. Gros dévoreur de ressources, pour presque rien.
Pacman ->
Application qui lance des composants usuels de MS Office pour aider à accélérer le lancement des programmes Office. C'est en quelque sorte un dévoreur de ressources, et certains utilisateurs prétendent qu'il n'y a pas de différence avec ou sans, mais d'habitude elle n'est pas nécessaire. Note - si vous utilisez la barre de raccourcis de Microsoft Office en dehors d'un programme Office, cette application aura besoin d'être activée pour qu'elle soit affichée

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... YYYYYYYYUS Fixer absolument

O15 - Trusted Zone: *.skoobidoo.com Les effacer toutes si vous n’avez pas ajouté vous-même ces pages dans vos sites de confiance.
...
O15 - Trusted IP range: 67.19.178.84
WhoisView a écrit:Un Whois de 67.19.178.84 donne

OrgName: ThePlanet.com Internet Services, Inc.
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
Comment:
RegDate: 1999-08-31
Updated: 2004-05-07

ReferralServer: rwhois://rwhois.theplanet.com:4321
...


O17 - HKLM\System\CCS\Services\Tcpip\..\{9D5CBB35-7EAE-4E13-9746-4E07DE496C2F}: NameServer = 194.117.200.10,194.117.200.15
OK C'est sans doute ton FAI
WhoisView a écrit:inetnum: 194.117.200.0 - 194.117.207.255
netname: T-ONLINEFRANCE
descr: T-Online France - Club Internet
descr: 11 rue de Cambrai
descr: 75927 Paris Cedex 19
descr: FRANCE


Fichiers à supprimer:
M:\WINDOWS\system32\iasada.dll
M:\WINDOWS\msmsgrxp.exe

Supprimer tout le dossier et non seulement le fichier
M:\Program Files\PSGuard\PSGuard.exe

Si elle est encore souhaitée, la Google Toolbar devra être réinstallée puisque une partie des fichiers manquent.

Note importante sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- Ici doit se placer l'utilisation de HijackThis
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.
-**- toujours en mode sans échec, renommer les fichiers et dossiers indiqués
Pour renommer, il suffit d'ajouter un caractère _ ("underscore") juste derrière le nom.

Puis redémarrer l'ordinateur en mode normal.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

Utilisation de la Pacman http://assiste.forum.free.fr/viewtopic. ... 2014#42014

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9811
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités