analyse de logs

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

analyse de logs

Messagede Michele Marthiens » 09 Nov 2005, 22:51

Bonjour,

Voilà bientôt une semaine que je me débats avec un virus ou autre intrus. Je viens d'effectuer la mini manip et je vous serais reconnaissante si vous pouviez m'aider. Ci-joint le log d'hitackthis. Merci

[list=]
Logfile of HijackThis v1.99.1
Scan saved at 22:27:47, on 09/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuapi.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\wincntrl.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Documents and Settings\Michèle Marthiens\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\geeda.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\mljgh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 1389016171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1389004937
O17 - HKLM\System\CCS\Services\Tcpip\..\{73A0BC64-6EDE-4727-8E51-51D472BD9C0E}: NameServer = 80.118.196.41 80.118.192.111
O20 - Winlogon Notify: geeda - C:\WINDOWS\SYSTEM32\geeda.dll
O20 - Winlogon Notify: mljgh - C:\WINDOWS\System32\mljgh.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe[/list]
Michele Marthiens
 
Messages: 1
Inscription: 09 Nov 2005, 22:34

Messagede nickW » 09 Nov 2005, 23:47

Bonsoir,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.
Si tu le laisses tel qu'il est actuellement, sur le bureau, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").


La procédure se déroule en deux parties (j'ai besoin de ta réponse lors de l'étape 3 pour continuer).

Voici la première partie:

Étape 1: DelDomains.inf
Faire un clic droit (bouton droit de la souris) sur le lien ci-dessous, et choisir "Enregistrer sous"
L'enregistrer dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\DelDomains.inf)
http://www.mvps.org/winhelp2002/DelDomains.inf
Faire un clic droit (bouton droit de la souris) sur le fichier DelDomains.inf, et choisir "Installer"
Note: Ce "programme" va supprimer la totalité des sites de confiance d'Internet Explorer (puisque des intrus s'y sont glissés). Il faudra peut-être que tu resaisisses les sites qui sont pour toi de vrais sites de confiance.


Etape 2: Installation de deux outils
Télécharger Process Explorer par Sysinternals depuis:
http://www.sysinternals.com/files/procexpnt.zip
Décompresser l'archive dans un répertoire qui lui est réservé, par exemple C:\Program Files\procexpl

Télécharger TheKillbox depuis:
http://www.downloads.subratam.org/KillBox.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\killbox


Étape 3: Recherche dans le Registre
Aller sur http://www.billsway.com/vbspage/ et descendre jusqu'à Registry Search Tool
Télécharger RegSrch.zip, le décompresser dans un dossier qui lui est réservé (par exemple C:\Program Files\RegSrch), puis lancer RegSrch.vbs en faisant un clic droit dessus et en choisissant Ouvrir avec l'invite de commandes.

Taper {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} dans la zone Enter search string... puis cliquer sur OK.

Laisser le script tourner (jusqu'à 5 minutes); Une petite fenêtre annonce le nombre d'occurrences trouvées.
Cliquer sur OK pour copier le résultat dans Wordpad.
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous).

Copier le contenu de ce fichier en réponse.

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités