rapport

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

rapport

Messagede fifi » 22 Aoû 2005, 10:02

Bonjour :D

J’ai utilisé HijackThis avec la mini manip de votre site.
Voici le rapport d'entrées et d'occurrences de démarrage et configuration système.
CWS.GoogleMS.3 et VirtuMonde sont toujours présents sur mon PC.
@+ fifi bonne journée

Logfile of HijackThis v1.99.1
Scan saved at 21:44:02, on 19/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tweak-XP\Tweak-xp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/net@tous
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planetis.com/net@tous
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://registration.planetis.com/script ... =&online=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tweak-XP] C:\Program Files\Tweak-XP\Tweak-xp.exe -ex
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://elearning01.esc-grenoble.fr/qp2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{110C3876-6577-44DF-B769-B4F5A887B49C}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Merci pour vos aides....
fifi
 
Messages: 8
Inscription: 13 Mai 2005, 08:23
Localisation: GRENOBLE

Messagede nickW » 22 Aoû 2005, 14:38

Analyse en cours.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 22 Aoû 2005, 15:18

Bonjour,

Rien de vraiment "méchant" dans ce log qui date un peu (Scan saved at 21:44:02, on 19/08/2005).


CWS.GoogleMS.3
Description tirée des CWS Chronicles:
CWS.Googlems.3: A mutation of this variant exists that hijacks IE to idgsearch.com, installs a BHO named 'Microsoft SearchWord' using the filename Word10.dll in the location C:\Documents And Settings\[username]\Application Data\Microsoft\Office.
This version can also be loaded by a fake Notepad.exe file in the Windows system folder. The fake file has an icon different from the default notepad one.

Une mutation de la variante 17 de CWS: CWS.Googlems, qui redirige IE vers idgsearch.com, installe un BHO nommé 'Microsoft SearchWord' qui utilise le fichier Word10.dll dans le dossier C:\Documents And Settings\[username]\Application Data\Microsoft\Office.
Cette version peut aussi être lancée par un faux fichier Notepad.exe dans le dossier système Windows. Le faux fichier Notepad.exe a une icône différente de celle du véritable notepad (une page de bloc-note en noir et blanc).
Pas de redirection dans ton log.
Pas de BHO 'Microsoft SearchWord' dans ton log.
Tu ne signales pas de problème avec le programme Notepad (Bloc-notes).



VirtuMonde
Ce logiciel publicitaire (adware) télécharge et affiche des pubs en popups.
Il est caractérisé par la présence de clés de registre qui devraient ressembler dans un log HijackThis à:
O4 - HKLM\..\Run: [WindowsUpd] ...
O4 - HKLM\..\Run: [SysUpd] ...
O4 - HKCU\..\Run [WindowsUpd] ...
O4 - HKCU\..\Run [SysUpd] ...
Ces clés n'existent pas dans ton log.


Ma question est donc: qui te signale la présence de CWS.GoogleMS.3 et VirtuMonde, et de quelle façon (nom des fichiers infectés)?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 22 Aoû 2005, 18:58

Bonsoir,

Réponse de fifi en MP (pourquoi donc en MP?)
C'est Pespatrol V4 qui signale la présence de CWS.GoogleMS.3 et VirtuMonde
nom des fichiers infectés:
VirtuMonde : HKEY_USERS\.default\software\microsoft\internet explorer\toolbar\webbrowser|{42cdd1bf-3ffb-4238-8ad1-7859df00b1d6}
CWS.GoogleMS.3: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet

Autre question, lors du nettoyage du disk C la compression des fichiers indique que l’on peu gagner 39650Ko et lorsque je fait OK ces des fichiers ne sont pas supprimés !!!!
Je ne comprends pas !!!

Que veut dire BHO 'Microsoft SearchWord'?

Avec le programme Notepad j'ai juste fait un copier coler!!!



Le CLSID 42cdd1bf-3ffb-4238-8ad1-7859df00b1d6 correspond à la barre d'outils de Norton Antivirus:
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
Ce n'est donc pas Virtumonde


La compression des fichiers n'a rien à voir avec leur suppression!


L'aide de Spybot-S&D a écrit:Un BHO (Browser Helper Object) est un petit programme qui ajoute des fonctionnalités à Internet Explorer de Microsoft. Des exemples de BHO sont des barres d'outils additionnelles affichées dans IE, mais aussi des fonctions cachées. L'adware et le spyware ainsi que les pirates de navigateur utilisent souvent des BHOs pour afficher des pubs ou suivre vos mouvements sur l'internet, parce qu'un BHO a accès à chaque URL que vous visitez et peut vous rediriger, ou afficher d'autres pages que celle que vous avez demandées (des pubs, par exemple).

Si tu avais vraiment CWS.Googlems.3, on verrait dans ton log HijackThis une ligne ressemblant à:
O2 - BHO: Microsoft SearchWord - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - ..... GoogleMS.dll, Word10.dll
Comme tu l'utilises normalement, ton programme notepad n'a donc pas été piraté.

Je pense plutôt à deux "faux positifs" de la part de PestPatrol.

As-tu essayé Spybot-S&D?
Voir ICI

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Ouf!...

Messagede fifi » 23 Aoû 2005, 07:38

Bonjour
Je t'ai répondu en privé car j'ai du confondre avec le répondree "orange" car il vaut mieux bien sûr que tous le monde en profite!!!
Ouf!...car je suis content que cela soit des "faux positifs" de la part de PestPatrol car il ne se passe rien!

j'ai déja mis Spybot que je tiens à jour, par contre je vais bien lire la notice par le lien que tu m'a donné impec!
tes infos sont bien claires!

Si j'ai bien compris, les fichiers ont été comprimés mais ils restent ainsi.

Par contre mon PC reste plutôt lent avec 128 +256KRAM???

bonne journée fifi
Merci pour vos aides....
fifi
 
Messages: 8
Inscription: 13 Mai 2005, 08:23
Localisation: GRENOBLE

Bonjour

Messagede fifi » 25 Aoû 2005, 15:41

Après application de vos conseils les choses rentrent ds l'ordre!
Bon week end phil
:wink:
Merci pour vos aides....
fifi
 
Messages: 8
Inscription: 13 Mai 2005, 08:23
Localisation: GRENOBLE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités