analyse por favor

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

analyse por favor

Messagede steffane » 14 Juil 2005, 20:59

bonjour a tous .j'ai fait un log de mon systeme et comme je n'y comprend rien j'ai besoin d'aide.merci

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Program Files\eMule\emule.exe
C:\Documents and Settings\stephane\Bureau\ENTRETIENS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/E ... 060_XP.cab
O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/E ... 059_XP.cab
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P ... _FR_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8770089437
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D67846B-685C-4525-9D08-3D21B68AF681}: NameServer = 80.118.192.110 80.118.196.40
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - f:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
steffane
 

Messagede pierre » 15 Juil 2005, 00:09

Bonjour,

Il manque les premières lignes du log.

Pourquoi fais-tu un log et le soumets-tu à l’analyse ? Y a t’il quelque chose qui t’interpelle ? Quoi ? Un symptôme ? Un utilitaire de sécurité qui te dis quelque chose ? Ou juste pour que l'on regarde sans savoir quoi chercher ?

Et ta configuration ?

Ma boule de cristal est cassée. Désolé.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28387
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 15 Juil 2005, 01:00

Bon,

En attendant, fixe (corrige) les lignes suivantes, à l'aide de HijackThis :

Attention :
- Lisez une première fois tout ce qui suit et téléchargez les utilitaires qui vont être utilisés.

Phase préparatoire

Télécharger et installer les outils dont vous allez avoir besoin.

  • Suspendre les protections temps réel de la base de registre
    • Utilisateurs de Spybot S&D, vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".
    • Utilisateurs de Adaware : vous ne devez pas avoir le processus AdWatch actif. Allez dans Adaware > Interface Utilisateur > Outils et Préferences > En bas de l'écran, décochez les 2 cases Actif et Automatic (vous les repositionnerez après la décontamination).
    • Utilisateurs de Microsoft Antispyware, vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.
    • Utilisateurs de SpywareGuard, vous ne devez pas avoir le processus SpywareGuard actif. Dans un premier temps, tuez-le en utilisant le gestionnaire de tâches de Windows.
      Pour invoquer le gestionnaire de tâches, appuyez simultanément sur les trois touches de votre clavier Ctrl, Alt et Suppr (Del). Sous Windows NT/2000/XP, choisir l'onglet "Processus". Rechercher le processus sgmain.exe, cliquez dessus pour le sélectionner puis cliquez sur le bouton "Terminer le processus". Refaites la même chose pour tuer le processus sgbhp.exe.
    • Vous ne devez pas avoir de processus de type "contrôleurs d'intégrité" actifs (type SSM, InVircible, Abtrusion Protector, Viguard, InDefense etc. ...).
    • Etc. ...
  • Un antivirus
    Si vous n'avez pas d'antivirus, téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
  • Un anti-trojan
    Si vous n'avez pas d'anti-trojan, téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Microsoft Antispywares maintenant.
    http://assiste.com.free.fr/p/internet_u ... patrol.php
    http://assiste.com.free.fr/p/internet_u ... res/a2.php
    http://assiste.com.free.fr/p/internet_u ... leaner.php
    http://assiste.com.free.fr/p/internet_u ... pyware.php
  • CWShredder (gratuit)
    Si vous ne l'avez pas déjà téléchargé, allez le chercher
    http://assiste.com.free.fr/p/internet_u ... redder.php
  • CCleaner (gratuit)
    http://assiste.com.free.fr/p/internet_u ... leaner.php
  • SpyBot Search & Destroy (gratuit)
    http://assiste.com.free.fr/p/internet_u ... estroy.php
  • Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com.free.fr/p/comment/an ... aximum.php
  • Si ce n'est déjà fait, installez HijackThis dans son répertoire
    Lorsque vous installez HijackThis, celui-ci, par défaut, va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées automatiquement.
  • Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Quittez HijackThis pour l'instant

Protocole préalable
Avant de faire les actions personnalisées indiquées sous le point "Décontamination", commencez par faire ceci :
(1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable).
  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com.free.fr/p/comment/ac ... ration.php
  2. Si ce n'est déjà fait, exécutez CWShredder
    http://assiste.com.free.fr/p/internet_u ... redder.php
  3. Si ce n'est déjà fait, faites en sorte de tout voir
  4. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Le plus simple : utilisez CCleaner

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Videz les répertoires temporaires
    • Si vous êtes sous Windows 95/98/Me/XP, videz
      C:\Windows\Temp\
    • Si vous êtes sous Windows NT/2000, videz
      C:\Winnt\Temp\
  5. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
  6. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  7. Redémarrez en mode "Sans échec" et n'ouvrez aucune fenêtre
    Comment faire :
    http://assiste.com.free.fr/p/comment/de ... _echec.php

    Fermez toutes les fenêtres, dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.
  8. Exécutez votre antivirus, réglé au maximum
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'antivirus au maximum : tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
  9. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'anti-trojan au maximum.
  10. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.
  11. Faites une sauvegarde de la base de registre
    http://assiste.com.free.fr/p/comment/sa ... gistre.php

Décontamination - Vous êtes toujours en mode sans échec :
  1. Fixer, avec HijackThis, les lignes suivants (si elles existent encore)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/

    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL

    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL

    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL

    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000

    O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/E ... 060_XP.cab

    O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/E ... 059_XP.cab

    O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P ... _FR_XP.cab
  2. Renommer les fichiers suivants
    - ... Rien à faire
  3. Editer la base de registre
    - ... Rien à faire
  4. Remarque
    Rechercher, dans "Ajouter et Supprimer des programmes", la désinstallation de MyWebSearch. Normalement, elle y est (mais, parfois, elle n'y est pas). Si elle n'y est pas, ce sera plus long à désinstaller.
  5. Fichier hosts
    - ... Rien à faire
  6. Domaines dans la zone de confiance d'IE
    - ... Rien à faire
  7. Redémarrer en mode normal
    Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.
  8. Répertoire(s) à détruire
    - ... Aucun
  9. Fichier(s) à détruire
    - ... Aucun
  10. Nettoyage final
    Repassez un coup de CCleaner (déjà vu au point 5)
    http://assiste.com.free.fr/p/internet_u ... leaner.php
  11. Windows Update
    Faire un Windows Update et installer tous les correctifs de failles de sécurité.
  12. Redémarrer en mode normal
  13. Nouveau log HijackThis
    Refaire un log HijackThis et le poster à la suite (sans ouvrir un nouveau fil de discussion) afin que nous puissions effectuer une vérification.
Fin de la décontamination - phase de sécurisation
  1. Utiliser Zeb Protect afin de fermer totalement certains ports critiques maintenus ouverts par des services de Windows
    http://assiste.com.free.fr/p/internet_u ... rotect.php


A l'avenir, suivre les recommandations d' http://assiste.com : en particulier, ne jamais utiliser Internet Explorer (lire http://assiste.com.free.fr/p/internet_a ... plorer.php ), interdire les contrôles activex (lire http://assiste.com.free.fr/p/internet_a ... ctivex.php ), naviguer (bien mieux) avec Mozilla Firefox (lire http://assiste.com.free.fr/p/internet_u ... irefox.php ), tenir à jour les patchs de sécurité (deuxième mercredi de chaque mois - lire http://assiste.com.free.fr/p/carnets_de ... chwork.php ) etc. ...

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28387
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 38 invités