Demande d'analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse

Messagede Sacco3 » 01 Nov 2005, 15:15

Voilà mon problème j'ai une nouvelle barre d'adresse avec people search, find any mail, hot ringtones, online dating, online casnios go shopping et virus scan. Ensuite j'ai plein de sites qui s'ouvrent tel que meetic, paypopup, robopetonline.....

Des fichiers tel que ixsalban.exe. Enfin plein de merde je suis sous xp pro. Voilà mon scan.

Logfile of HijackThis v1.99.1
Scan saved at 14:12:16, on 01/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PopUpBlocker8.exe
C:\WINDOWS\System32\winsvc32.exe
C:\windows\sp2update00.exe
C:\Landry\Logiciels\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Landry\Logiciels\Winamp\winampa.exe
C:\WINDOWS\etb\pokapoka79.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Landry\Logiciels\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Landry\Logiciels\Logitech\SetPoint\KEM.exe
C:\WINDOWS\System32\winjava.exe
C:\Landry\Logiciels\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\devldr.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\msserv.exe
C:\Landry\Logiciels\a2 Free\a2start.exe
C:\Landry\Logiciels\a2 Free\a2scan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\Content.IE5\K9Q1MV0V\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwebzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwebzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkll.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Landry\Logiciels\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Landry\Logiciels\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Service] msserv.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - HKLM\..\RunServices: [Microsoft Service] msserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Landry\Logiciels\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Landry\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Landry\Logiciels\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Landry\Logiciels\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Landry\Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Landry\Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A4CBA5A-1506-45E2-9D11-ADA259E1F69C}: NameServer = 217.19.192.132 217.19.192.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: pmkll - C:\WINDOWS\SYSTEM32\pmkll.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr8o05l3e.dll
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe

Merci d'avance
Sacco3
 

Messagede nickW » 01 Nov 2005, 23:31

Bonsoir,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT).
Puis de télécharger l'archive hijackthis.zip depuis http://www.merijn.org/files/hijackthis.zip (faire un clic droit sur le lien précédent, puis choisir "Enregistrer sous"). Placer ce fichier dans le dossier C:\Program Files\HJT
Ensuite de décompresser l'archive HijackThis.zip, puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\Program Files\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 12).

Note 1: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Note 2: Lors du redémarrage, les noms de certains fichiers peuvent avoir changé. J'ai utilisé des couleurs pour que tu puisses toi-même trouver les noms réels lors de l'exécution de la procédure.


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Antivirus
Si vous n'avez pas d'antivirus, téléchargez et installez maintenant l'un des suivants:
BitDefender Pro---> http://assiste.com.free.fr/p/internet_u ... ivirus.php
Kaspersky AVP---> http://assiste.com.free.fr/p/internet_u ... ivirus.php
Antivir (gratuit)---> http://assiste.com.free.fr/p/internet_u ... ntivir.php
AVG Free edition (gratuit)---> http://www.grisoft.com/us/us_dwnl_free.php


Étape 3: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 4: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 5: ewido security suite
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 6: Process Explorer
Télécharger Process Explorer par Sysinternals depuis:
http://www.sysinternals.com/files/procexpnt.zip
Décompresser l'archive dans un répertoire qui lui est réservé, par exemple C:\Program Files\procexpl


Étape 7: Killbox
Télécharger TheKillbox depuis http://www.downloads.subratam.org/KillBox.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\killbox


Étape 8: Stinger
Télécharger Stinger v2.5.8 depuis la page: http://vil.nai.com/vil/stinger/
Placer le fichier s_t_i_n_g_e_r.exe dans un dossier qui lui sera réservé, par exemple C:\Program Files\stinger


Étape 9: F-Bot
Télécharger l'utilitaire de désinfection de F-Secure: http://www.f-secure.com/tools/f-bot.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\fbot


Étape 10: EliteToolbar Remover
Télécharger ETRemover_V212.zip et le placer sur le bureau.
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\Program Files\ETR).


Étape 11: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 12: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 13: EliteToolbar Remover
Faire un double clic sur ETRemover_V212.exe
Puis cliquer sur le bouton "Kill Elite Toolbar" et attendre.
Parfois, une boîte de dialogue DOS peut apparaître, vous demandant la permission de supprimer certains fichiers dans les dossiers temporaires de Windows. Il faut accepter ces suppressions.


Étape 14: HijackThis
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", retour en cliquant sur "Back"
Cliquer sur "Scan" ou "Do a system scan and save a logfile".

Garder le programme HijackThis ouvert.

Repérer la ligne O2 - BHO: (no name) - {nombre variable} - C:\WINDOWS\System32\pmkll.dll
Noter le nom de la dll (ici: pmkll.dll)

Repérer la ligne O20 - Winlogon Notify: RunOnce - C:\WINDOWS\System32\hr8o05l3e.dll
Noter le nom de la dll (ici: hr8o05l3e.dll)


Étape 15: Utilisation de Process Explorer
Lancer le programme en faisant un double clic sur procexp.exe.

Dans la partie haute de l'écran de Process Explorer faire un double clic sur winlogon.exe pour ouvrir la fenêtre des propriétés de winlogon.exe.
Cliquer sur l'onglet Threads en haut.

Dans le nouvel écran, faire un simple clic sur chaque occurrence de pmkll.dll puis cliquer sur le bouton Kill.

Après avoir tué tous les pmkll.dll sous winlogon cliquer sur ok.

Ensuite faire un double clic sur explorer.exe et de la même façon, cliquer sur chaque occurrence de pmkll.dll puis sur le bouton Kill. Ceci fait, cliquer de nouveau sur ok.
Fermer Process Explorer.


Étape 16: Arrêt de processus (s'ils sont actifs)
Arrêter un processus en cours.
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver devldr.exe et cliquer sur Terminer le processus
Trouver msserv.exe et cliquer sur Terminer le processus
Trouver pokapoka79.exe et cliquer sur Terminer le processus
Trouver PopUpBlocker8.exe et cliquer sur Terminer le processus
Trouver sp2update00.exe et cliquer sur Terminer le processus
Trouver winjava.exe et cliquer sur Terminer le processus
Trouver winsvc32.exe et cliquer sur Terminer le processus


Étape 17: HijackThis
Reprendre la fenêtre ouverte de HijackThis.
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwebzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwebzone.com/sp2.php
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\pmkll.dll--->Ajouté par le trojan Win32.ConHook.l
O4 - HKLM\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe--->Ajouté par une variante du ver RBOT
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe--->Ajouté par le ver LINKBOT.M
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc32.exe--->Ajouté par une variante du ver SDBOT
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe--->Trojan! - en relation avec le logiciel publicitaire 180SearchAssistant
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe--->Logiciel publicitaire SP2Update
O4 - HKLM\..\Run: [Microsoft Service] msserv.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe--->Logiciel publicitaire EliteBar
O4 - HKLM\..\RunServices: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe--->Ajouté par une variante du ver RBOT
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe--->Ajouté par une variante du ver SDBOT
O4 - HKLM\..\RunServices: [Microsoft Service] msserv.exe
O4 - HKCU\..\Run: [Popup Blocker System8 Monitoring] PopUpBlocker8.exe--->Ajouté par une variante du ver RBOT
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe--->Ajouté par une variante du ver SDBOT
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe--->Ajouté par une variante du ver SDBOT
O20 - Winlogon Notify: pmkll - C:\WINDOWS\SYSTEM32\pmkll.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr8o05l3e.dll
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe--->Ajouté par le ver W32/Codbot-AA
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe--->


Étape 18: Stinger
Exécuter Stinger (double clic sur s_t_i_n_g_e_r.exe).
Noter le résultat.


Étape 19: F-Bot
Lancer F-Bot d'un double clic sur F-Bot.exe
Noter le résultat.


Étape 20: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 21: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:
C:\WINDOWS\etb en etb.non

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:
C:\windows\msresearch.exe en msresearch.exe.non
C:\windows\sp2update00.exe en sp2update00.exe.non
C:\WINDOWS\devldr.exe en devldr.exe.non
C:\WINDOWS\System32\PopUpBlocker8.exe en PopUpBlocker8.exe.non
C:\WINDOWS\System32\csrs.exe en csrs.exe.non
C:\WINDOWS\System32\winsvc32.exe en winsvc32.exe.non
C:\WINDOWS\System32\msserv.exe en msserv.exe.non
C:\WINDOWS\System32\winjava.exe en winjava.exe.non


Étape 22: Killbox
Lancer Killbox d'un double clic sur Killbox.exe
Ne toucher à aucun bouton.

Choisir "Delete on Reboot".

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\System32\pmkll.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "Yes" sur l'invite Pending Operations.

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\system32\hr8o05l3e.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "No" sur l'invite Pending Operations.

L'ordinateur redémarre, choisir le mode normal.


Étape 23: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 24: Télécharger et installer les patches Microsoft suivants
Vérifier qu'il s'agit de la version française.
MS03-049 - KB828749
http://www.microsoft.com/downloads/deta ... D79483F261
MS04-007 - KB828028
http://www.microsoft.com/downloads/deta ... E663A53698
MS04-011 - KB835732
http://www.microsoft.com/downloads/deta ... 342FBB6C00
MS04-012 - KB828741
http://www.microsoft.com/downloads/deta ... 8F27FDCC40
MS05-039 - KB899588
http://www.microsoft.com/downloads/deta ... C89905C88F


Étape 25: Envoi des résultats
Envoyer en réponse:
*- un nouveau log HijackThis
*- le rapport d'ewido
*- les rapports de Stinger et F-Bot


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 37 invités