[OK] Analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Analyse de log

Messagede kobbayashi » 01 Juil 2005, 18:21

OK

Bonjour,

Je suis nouveau sur le forum, alors pardonnez moi d'avance mes erreurs.

Bon voilà, j'ai un problème que je n'arrive pas à resoudre meme en m'inspirant des différentes solutions proposés sur les forums.

J'ai eu un pb de style Coolwebsearch ( mais s'était un autre site ) j'ai effectué la manip d'assiste.com ( http://assiste.com.free.fr/manip.htm )

Je n'ai plus la redirection vers le site lorsque j'allume mon pc mais une page blanche avec seulement : "http:///" ( il y a bien trois / )

Quelqu'un peut-il me dire comment faire pour rétablir ma page d'accueil.

Merci d'avance.

Voici mon log HijackThis.



Logfile of HijackThis v1.99.1
Scan saved at 19:41:37, on 01/07/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
C:\WINNT\system32\ntvdm.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\services.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\internet explorer\IEXPLORE.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\WINSOS\WINSOS.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\AUTRES\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localho;;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_1_5_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmonk32.exe
O4 - HKLM\..\Run: [microsoft scvhost for windows] scvhost.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe
O4 - HKLM\..\Run: [Mirc] C:\WINNT\SYSTEM32\mircfix.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\internet explorer\IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\RunServices: [microsoft scvhost for windows] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/063ebf0f924 ... 601_fr.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} - http://fr4-download.nocreditcard.com/do ... ss1043.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_FR.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab
O23 - Service: 58egC0V7a5F0CHDCm3 - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: e3mBE14G9Qm2dL4VM3O+7U83rsuqa1ZBqMI0p78ZZ2 - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe (file missing)
O23 - Service: hpzglue_service - Unknown owner - C:\WINNT\system32\hpzglu05.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: FireDaemon Service: secure.bat (secure.bat) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: FireDaemon Service: services.exe (services.exe) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate T
echnologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe


Peut-être que cela vous parle + qu'a moi.

a+ kobbayashi
kobbayashi
 
Messages: 16
Inscription: 01 Juil 2005, 17:59

Messagede nickW » 01 Juil 2005, 20:17

Bonsoir,

Question préliminaire:
Que contient sur ta machine le dossier C:\Winnt\System32\drivers\etc\



Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked) [Voir la Note importante: ci-dessous]:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localho;;<local>
O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe--->Ajouté par le ver RANDEX.C
O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe--->Ajouté par le ver RANDEX.D, ou les trojans ROXY ou ROXY.B
O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmonk32.exe--->Ajouté par le ver RANDEX.C
O4 - HKLM\..\Run: [microsoft scvhost for windows] scvhost.exe--->Ajouté par le ver W32/Randex-S
O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe--->Ajouté par TROJ_RANBOT.A
O4 - HKLM\..\Run: [Mirc] C:\WINNT\SYSTEM32\mircfix.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\internet explorer\IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\RunServices: [microsoft scvhost for windows] scvhost.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} -
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_FR.cab
O23 - Service: 58egC0V7a5F0CHDCm3 - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe (file missing)
O23 - Service: e3mBE14G9Qm2dL4VM3O+7U83rsuqa1ZBqMI0p78ZZ2 - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe (file missing)
O23 - Service: hpzglue_service - Unknown owner - C:\WINNT\system32\hpzglu05.exe (file missing)

Note importante sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- Ici doit se placer l'utilisation de HijackThis
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.
-**- toujours en mode sans échec, renommer le dossier
C:\Program Files\WINSOS en WINSOS_

-**- toujours en mode sans échec, renommer les fichiers
C:\WINNT\system32\gesfm32.exe en gesfm32.exe_
C:\WINNT\system32\msmsgri32.exe en msmsgri32.exe_
C:\WINNT\system32\msmonk32.exe en msmonk32.exe_
C:\WINNT\system32\scvhost.exe en scvhost.exe_ (Attention au nom, ne pas toucher à svchost.exe)

Puis redémarrer l'ordinateur en mode normal.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre (car il reste des programmes "superflus au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede kobbayashi » 02 Juil 2005, 10:51

Tout d'abord, merci beaucoup de m'avoir répondu aussi vite.

En effet, la page blanche de démarrage a disparu lorsque j'allume le PC; toutefois elle reste la page de démarrage par défaut ( "http:///" ).

J'ai effectué les différentes manip mais j'ai eu qq soucis sur certaines d'entres-elles :

1- dans le dossier c:/Winnt/system32/drivers/etc/
voici les fichiers contenus:
hosts
hosts.bak
inhosts.sam
networks
protocol
services
hosts.20050630.221816.backup

2- je n'ai pas reussi à supprimer tous les fichiers cachés dans Temp ou Temporary internet files AVANT le démarrage sans échec, cependant j'ai reussi après. En effet, impossible de supp :
Content IE.5 - index3.dat ( fichier en cours d'utile )
et
hpotdd000 dans administrateur/localsettings/temp

De plus, Windows m'indiquait que je détruisais des fichiers systèmes, j'espère que c'est OK.

3- hijackthis :
OK sauf 3 fichiers que celui-ci ne trouvait pas :
-les 2 fichiers Kaperski
-un autre dont je n'ai pas marqué le nom.

4-en mode sans échec:
même avec l'explorateur, je n'ai pas trouvé les fichiers suivants:
-gesfm32.exe
-msmgri32.exe
-msmmonk32.exe
OK pour svchost.exe ( il y'en 2, j'ai pas touché à celui dans dllcache )

5-enfin j'ai un dossier "backups" qui est apparru dans mes fichiers recus est ce normal?

Merci de ta réponse, voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 12:15:28, on 02/07/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
C:\WINNT\system32\ntvdm.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\services.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\AUTRES\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_1_5_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/063ebf0f924 ... 601_fr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINNT\system32\svchost.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Système d'événements de COM+ (EventSystem) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Médias amovibles (NtmsSvc) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Appel de procédure distante (RPC) (RpcSs) - Unknown owner - C:\WINNT\system32\svchost.exe (file missing)
O23 - Service: FireDaemon Service: secure.bat (secure.bat) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: Notification d'événement système (SENS) - Unknown owner - C:\WINNT\system32\svchost.exe (file missing)
O23 - Service: FireDaemon Service: services.exe (services.exe) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: Partage de connexion Internet (SharedAccess) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Service de numéro de série du lecteur multimédia portable (WmdmPmSN) - Unknown owner - C:\WINNT\System32\svchost.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINNT\system32\svchost.exe (file missing)



a+ kobbayashi
kobbayashi
 
Messages: 16
Inscription: 01 Juil 2005, 17:59

Messagede nickW » 02 Juil 2005, 12:40

Bonjour,

Dans mon message précédent, j'ai écrit:

C:\WINNT\system32\scvhost.exe en scvhost.exe_ (Attention au nom, ne pas toucher à svchost.exe)


Il ne te reste plus qu'à renommer svchost.exe_ en svchost.exe

Tesgaz a écrit:Ce processus générique est obligatoire, svchost veut dire : (Service Host Process) il sert d'hôte pour lancer différents services. Il est possible d'en avoir un minimum de 2 jusqu'à 8 dans le gestionnaire des tâches. Bon nombre de ces processus sont principalement accès connexion réseau, une bonne partie des ces processus sont en relation directe avec le service "Appel de procédure distante RPC".



Il reste à supprimer via HijackThis:
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI

Tu lances HijackThis dans les conditions indiquées précédemment sauf pour le démarrage en mode sans échec: fais-le en mode normal.
Ensuite tu renommes le dossier C:\Program Files\Winsos en Winsos_

Pui tu redémarres, tu refais un log HijackThis que tu envoies en réponse.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Vazkor » 02 Juil 2005, 14:46

Bonjour,
Peut-être que cela vous parle + qu'a moi.

Oh que oui, ton système a besoin d'une sérieuse mise à jour:
Platform: Windows 2000 SP3 (WinNT 5.00.2195)

Il te manque le SP4 et tous les correctifs qui ont suivi (~50 dont beaucoup sont critiques).

Cours vite faire le nécessaire avec Windows Update, sinon c'est peine perdue.
Sans mise à jour régulière, tu vas retrouver ton PC aussi vite contaminé que tu l'auras nettoyé.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede kobbayashi » 02 Juil 2005, 18:38

Merci de vos réponses, voici mon log pour analyse SVP.

ps: sorry for: svchost.exe

modif Winsos - ok


Logfile of HijackThis v1.99.1
Scan saved at 19:56:17, on 02/07/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\services.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\AUTRES\HijackThis.exe
C:\Program Files\internet explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINNT\Downloaded Program Files\ycomp5_1_5_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Program Files\BearPaw 2448CU Pro\Driver\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/063ebf0f924 ... 601_fr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.yahoo.c ... _1_5_0.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: FireDaemon Service: secure.bat (secure.bat) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: FireDaemon Service: services.exe (services.exe) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe



encore merci et a+

kobbayashi
kobbayashi
 
Messages: 16
Inscription: 01 Juil 2005, 17:59

Messagede nickW » 02 Juil 2005, 19:34

Bonsoir,

Pour Vazkor:
Comme je l'ai déjà expliqué à maintes reprises, mes réponses aux demandes d'analyse de log se font toujours en deux parties:
1/ Décontamination
2/ Mise à niveau de l'OS, installation d'un pare-feu, suppression des "superflus au démarrage", autres conseils, etc

Ceci afin de ne pas installer de patch, ni de pare-feu sur un système infecté et/ou instable.
Il est donc nécessaire de réanalyser le log après désinfection avant de demander cette mise à niveau.


Pour kobbayashi:
Tu as tout simplement oublié de dire si tu avais encore des problèmes.

Dans le cas contraire,

*- Tu dois mettre à jour Windows 2000 (le SP4 qui date du 06/10/2003, plus tous les patches qui l'ont suivi)

*- D'autre part, certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.

Sont dans ce cas:
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe--->mise à jour automatique; mieux vaut la faire soi-même
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe--->lire attentivement la liste de Pacman
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe--->lire attentivement la liste de Pacman, rubrique "Ulead Photo Express x.0 Calendar"

Note importante sur la mise en œuvre de cette correction ("Fix") via HijackThis (cocher la case devant l'élément puis cliquer sur Fix Checked):
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- Ici doit se placer l'utilisation de HijackThis
-**- après exécution de HijackThis, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur en mode normal.

Penser à réactiver la restauration système (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

*- Sais-tu ce que sont les deux services:
O23 - Service: FireDaemon Service: secure.bat (secure.bat) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE
O23 - Service: FireDaemon Service: services.exe (services.exe) - Unknown owner - c:\WINNT\SYSTEM32\win32\FireDaemon.EXE

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede kobbayashi » 02 Juil 2005, 20:10

oui j'ai encore le pb que ma page de démarrage par défaut est " http:///", cpt celle-ci n'apparait plus automatiquement lorsque j'allume le PC.

Que faire ?

sinon, pour les 2 lignes

o23.service.firedaemon.... je ne sais pas ce que c'est.

ps: je mettrais en place, après la résolution du pb, les correctifs Windows.
kobbayashi
 
Messages: 16
Inscription: 01 Juil 2005, 17:59

Messagede nickW » 02 Juil 2005, 20:53

Bonsoir,

Pour la page de démarrage par défaut, as-tu essayé de la modifier avec Spybot-S&D?
Outils--->Pages du navigateur (la surligner puis clic sur Changer).

Il faudrait rechercher le fichier secure.bat, et voir (dans n'importe quel éditeur de texte, comme Notepad, le "bloc-notes" de Windows, ou Wordpad) ce qu'il contient, ou le copier ici dans un message.

Il faudrait aussi rechercher s'il existe plusieurs fichiers services.exe.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede kobbayashi » 02 Juil 2005, 21:11

1- Spybot:

j'ai essayé mais c pas pris en compte, de plus ma page d'accueil normal est:
"hhtp://home.free.fr"
est celle-ci n'y apparrait meme pas, j'ai donc tenté de modif le texte.... sans succès.

il n'y a ke les pages msn et about: blank

2-secure.bat

avec l'expl Windows, je ne trouve rien.

3- services.exe

il y en a 2

c:/winnt/system32
c:/winnt/system32/dllcache

Je te remercie de m'accorder autant de ton temps.

a+ kobbayashi
kobbayashi
 
Messages: 16
Inscription: 01 Juil 2005, 17:59

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 31 invités

cron