[OK]demande d'analyse logs

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK]demande d'analyse logs

Messagede lolotte » 16 Fév 2006, 16:08

bonjour,
Pouvez vous me dire ce que je dois supprimer, ad aware me detecte COOLWEBSEARCH, et j'ai des fenetres pop_up !!! grrrrrrrrr
Voici mon log

Logfile of HijackThis v1.99.1
Scan saved at 15:59:10, on 16/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\KMaestro\Key_f.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\ \Mes documents\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localho;<local>
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RtlFindVal] JAguAr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat10.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/c ... blt1_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt2_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... urrent.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resou ... nPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\jt6m07j1e.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

Merci d'avance :D
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede Invité » 16 Fév 2006, 16:32

Salut,

Télécharge Look2Me-Destroyer :
http://www.atribune.org/ccount/click.php?id=7

- Double clique Look2Me-Destroyer.exe.
- Coche :"Run this program as a task".
- "Look2Me-Destroyer will close and re-open in approximately 10 seconds" : clique Ok.
- Clique le bouton : "Scan for L2M ", les icônes du bureau vont disparaître, c'est normal.
- A la fin du scan, le programme éteindra ton ordinateur.

Redémarre-le et poste :
- Un nouvel HijackThis.
- Le log : C:\Look2Me-Destroyer.txt

Note : Si ton firewall t'alerte que L2M Destroyer tente de sortir, laisse-le aller.
Si au départ, tu as le message : runtime error '339', télécharge MSWINSCK.OCX
http://www.ascentive.com/support/new/im ... WINSCK.OCX
et place-le tel quel dans c:\Windows\System32

Bonne chance!
Invité
 

Messagede pitiun » 16 Fév 2006, 18:03

Bonjour,

Il faudrait une sérieuse Mise à jour car : Platform: Windows XP (WinNT 5.01.2600) date :roll:
Avatar de l’utilisateur
pitiun
 
Messages: 279
Inscription: 02 Fév 2006, 20:16
Localisation: poitou-charentes

Messagede Laynea » 16 Fév 2006, 18:12

Bonjour.

Avant a mise à jour de la plateforme, il faut s'assurer d'avoir rétali une situation saine. NickW devrait donner son avis et probablement quelques résultats d'analyse d'ici peu.
En attendant il serait préférable d'effectuer >> la manip << et de refaire un log à partir de Hijackthis installé dans un réperetoire qui lui est réservé (ex. : C:\HJT).

A+
L.
Laynea
 
Messages: 188
Inscription: 01 Mai 2005, 15:11

Messagede lolotte » 16 Fév 2006, 19:06

Ok, merci je vais attendre d'avoir d'autre avis , mais j'ai pas trop de temps alors ne soyez pas trop inquiet si je ne réponds pas de suite, en tout cas je vous remercie bien pour votre aide encore un grand MERCIIIIIIIIIII :D
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede Invité » 16 Fév 2006, 19:40

Re !

- On fait une mise à jour sur un ordinateur sain.
- Ce qu'il peut y avoir d'autre et qu'on ne voit pas avec HijackThis peut être traité après (Ad-Aware...Ewodo..).
- La première chose à faire est de se débarrasser de ça:
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\jt6m07j1e.dll
Tout simplement parce qu'il est capable de télécharger d'autres spywares.

Voilà. Bon courage :wink:
Invité
 

Messagede Jim Rakoto » 16 Fév 2006, 19:52

Bonsoir Invité

1. L'idéal pour aider sur Assiste est quand même d'en devenir membre. :D

2. Dans le nettoyage de PC infectés sur base d'un log HijackThis, nous préconisons de limiter à 1 (en général NickW mais ce n'est pas obligatoire) le nombre d'intervenants dans une désinfection sauf demande de l'intervenant principal.

3. Pourquoi NickW ?
Tout simplement parce qu'elle a construit une méthode de nettoyage complète qui utilise plusieurs outils dans un ordre coordonné, méthodique et surtout réfléchi.
Il suffit de voir une de ses désinfections pour comprendre le travail qu'il y a derrière et surtout que chaque ligne considérée comme anormale est justifiée et expliquée pour aider l'internaute à prendre en charge sa propre sécurité.

Donc en résumé, pour nous, il n'est pas question d'une juxtaposition de conseils qui finissent par noyer le demandeur sans qu'il comprenne ce qui se passe.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 16 Fév 2006, 22:34

Bonsoir l'invité :wink:

Merci pour ton intervention cohérente et judicieuse.

La remarque de Jim est juste : il me serait agréable que tu t'inscrives et, d'ailleurs, ce forum d'analyses étant plutôt pointu et nécessitant des descriptions de configs et un suivi, je vais légèrement le modifier pour que l'inscription préalable soit requise.

Ton intervention semble pertinente (je n'ai pas regardé en détail) et une assistance de ta part s'inscrivant dans la durée nous serait agréable (la zone d’influence de ce forum est de plus en plus grande et nous sommes un peu débordés). Entre en relation avec l'un des modos ou moi-même en ce sens. Le recul et la pratique nous ont permis de développer une méthode d'assistance solide, systémique et méthodique, ayant passé l'épreuve du feu et que d'autres nous empruntent désormais. Nous sommes prêts à transmettre à ceux qui souhaitent devenir "helper" sur les forums d’Assiste.

Dans le même esprit d'assistance pointue et de bon suivi, il est effectivement souhaitable qu'un seul intervenant conduise l'analyse et donc, dès qu'il commence l'analyse (qui peut demander plusieurs heures et des centaines de recherches), inscrive un post signalant « analyse en cours » ou « Je prends ».

Merci Laynea pour ton intervention justifiée.

Cordialement à tous
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26953
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede lolotte » 16 Fév 2006, 23:05

Bon je vais pas faire n'importe quoi , je vais attendre sagement que quelqu'un prenne ma demande en main.

Merci à tous A+
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 17 Fév 2006, 01:39

Bonsoir,

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 9).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Pas de processus de contrôle d'intégrité
Désactiver TeaTimer de Spybot-S&D.
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.


Étape 4: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 5: ewido anti-malware
Télécharger la version d'essai de ewido anti-malware depuis http://www.ewido.net/fr/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 6: CWShredder
Télécharger CWShredder
Présentation: http://assiste.com.free.fr/p/internet_u ... redder.php
Site officiel: http://www.intermute.com/spysubtract/cw ... nload.html
Lien de téléchargement direct: http://cwshredder.net/bin/CWShredder.zip
Décompresser cette archive dans un dossier spécifique, par exemple C:\Program Files\cwshredder
Lancer le programme, cliquer sur Check for updates. Fermer le programme.


Étape 7: l2mfix option 1
Télécharger l2mfix.exe depuis:
http://www.downloads.subratam.org/l2mfix.exe ou http://www.atribune.org/downloads/l2mfix.exe
Enregistrer le fichier sur le bureau puis double-cliquer sur le fichier l2mfix.exe
Cliquer sur le bouton "Install" pour dézipper
Ouvrir le dossier l2mfix créé sur le bureau
Double-cliquer sur L2Mfix.bat et choisir l'option 1 Run Find Log (taper 1 puis Entrée)
Après quelques minutes de recherche, il y a ouverture du Bloc-notes; enregistrer le fichier, sous le nom: l2mfix-1.txt.
(ne pas utiliser l'option 2 ni aucun autre fichier du dossier l2mfix)
Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe
C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."... utiliser l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce problème.



Étape 8: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 9: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 10: Pas de processus de contrôle d'intégrité
Désactiver The Cleaner (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver tcm.exe et cliquer sur Terminer le processus


Étape 11: CWShredder
Exécuter CWShredder (clic sur Scan Only, puis clic sur Fix ou Next).
Enregistrer le résultat.


Étape 12: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, le signaler en réponse).

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localho;<local>
O4 - HKLM\..\Run: [RtlFindVal] JAguAr.exe--->Trojan - composant de Wareout
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"--->Ajouté par les trojans TORPIG-C et TORPIG-J!
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat10.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -



Étape 13: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

Dans le dossier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders
renommer tous les fichiers dont le nom commence par ibm


Étape 14: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 15: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de l2mfix option 1 (contenu du fichier l2mfix-1.txt)
*- le résultat de CWShredder

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 18 invités