Log Hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Log Hijackthis

Messagede zdep » 18 Fév 2006, 16:54

Salut à tous,
Pouvez-vous analyser ce log?
J'ai déjà une petite idée, mais je ne suis pas sur.
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe (pour Worm_RBOT.ABO)
O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe (pour Worm_Agobot.CV)
O4 - HKLM\..\RunServices: [Local Service] rundll.exe

Je précise que je les ai déjà supprimés de la liste de démarrage ainsi que IExplore32b.exe et svhost.exe

Logfile of HijackThis v1.99.1
Scan saved at 16:04:52, on 18/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\nadia\Mes documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... earch.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe
O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe
O4 - HKLM\..\RunServices: [Local Service] rundll.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

merci.
zdep
 
Messages: 2
Inscription: 18 Fév 2006, 16:35

Messagede nickW » 18 Fév 2006, 23:05

Bonsoir,

Ton nettoyage est incomplet.....


Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe.
Si tu le laisses tel qu'il est actuellement, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière").


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 8).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-malware
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: F-Bot
Télécharger l'utilitaire de désinfection de F-Secure: http://www.f-secure.com/tools/f-bot.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\fbot


Étape 6: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 7: F-Bot
Lancer F-Bot d'un double clic sur F-Bot.exe
Noter le résultat.


Étape 8: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 9: Pas de processus de contrôle d'intégrité
Désactiver ewido anti-malware (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver ewidoguard.exe et cliquer sur Terminer le processus


Étape 10: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, le signaler en réponse).

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe--->Ajouté par le ver RBOT.BO
O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe--->Ajouté par le ver RBOT-PX
O4 - HKLM\..\RunServices: [Local Service] rundll.exe


Étape 11: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 12: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINDOWS\system32\crss.exe en crss.exe.non--->Faire très attention au nom exact du fichier
C:\WINDOWS\system32\rundll.exe en rundll.exe.non--->Faire très attention au nom exact du fichier
C:\WINDOWS\system32\vsmon.exe en vsmon.exe.non


Étape 13: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Ccleaner.


Étape 14: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido
*- le résultat de F-Bot
en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede zdep » 20 Fév 2006, 01:07

Merci à toi.

J'ai déjà fixé les lignes en question en mode sans echec et après avoir désactivé la restauration système. J'avais auparavant déjà supprimé ces process dans la liste de démarrage. J'utilise aussi Ewido, mais à par des spyware, il ne m'avais rien trouvé!?
J'ai pu vérifier avec ProcessExplorer et Starter que les process ne tournaient plus.
zdep
 
Messages: 2
Inscription: 18 Fév 2006, 16:35


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités