Analyse log HijackThis svp merci

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse log HijackThis svp merci

Messagede konfu » 10 Mai 2006, 15:45

Bonjour à tous (premier post)

Je rencontre un problème avec plusieurs Trojan et adware, j'ai lu plusieurs post ici même et visiblement je ne suis pas le premier à en découdre avec eux actuellement. avast me signale quatre detections consécutives et ne me proposent que d'abandonner la connexion.
petit probleme annexe, j'ai beau scanner avec Avast et Ewido, a chaque fois les scans mettent plus de 24 heures en s'attardant sur des fichiers contenant plusieurs Go de vidéos qui ne risquent rien. Résultat je coupe la scan qui durerait presque 3 jours non-stop (il passe a peu pres 4 heures sur une série tv et des series tv j'en ai des dizaines!!) donc si vous savez comment eviter qu'il scan des trucs inutiles, je suis preneur :(

voici les petits casse-bonbons (Fichier + nom du logiciel malveillant):
http://85.255.117.133/users/smart/web/files/encodex.jpg
Win32:Agent-IU [Trj]

http://85.255.115.187/users/fill/web/im ... go_big.jpg
Win32:Small-EK [Trj]

http://85.255.115.187/users/fill/web/images/sphlp32.jpg
Win32:Adan-094 [Adw]

http://85.255.115.187/users/fill/web/images/pppcgm.jpg
Win32:Adan-078 [Adw]

Donc apres avoir lancé avast, ewido, ad-aware, spybot et fixwareout (résultat néant) je lance un scan HijackThis et je m'en remet a vous pour la procedure, mais apres avoir jeté un oeil sur d'autres post, je semble bon pour me taper tout un fix de malade.

log HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:46:33, on 10/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allocine.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB4D652-D41C-4318-8B35-841D55C9BACC}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{58A7A0E5-69F3-4A60-8FAF-5908EAA2E9C8}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F74A6D2-D9D9-4423-87EB-6BF1C9102F3B}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC0FFC0-1C55-4539-9ADA-545045D073E5}: NameServer = 85.255.114.13,85.255.112.78
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe



Merci d'avance.
konfu
 
Messages: 1
Inscription: 10 Mai 2006, 15:18

Messagede nickW » 11 Mai 2006, 00:31

Bonsoir,

Une infection par le trojan WIN32.DNSCHANGER.S alias Flush.G.

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures
*- Dans l'onglet Nettoyeur-Applications, cocher:
Internet: Sun Java

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-malware
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire), puis sur Démarrer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Pour exclure tes fichiers vidéo:
Lancer ewido anti-malware.
Cliquer sur scanner, puis sur Paramètres.
Cliquer sur le bouton "Editer les extensions".
Sélectionner les extensions que tu veux retirer, puis cliquer sur le bouton "Retirer l'extension".
Attention: ne retirer que le strict minimum!
Ou autre solution: voir la Note de l'étape 10.


Étape 5: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: Pas de processus de contrôle d'intégrité
Désactiver ewido anti-malware (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver ewidoguard.exe et cliquer sur Terminer le processus


Étape 8: Fichier hosts
Dans l'Explorateur, aller jusqu'au dossier C:\WINDOWS\system32\drivers\etc
Faire un clic droit sur le fichier hosts (sans extension) et choisir Propriétés.
Si nécessaire, décocher les cases devant les Attributs (Lecture seule et Caché), puis OK.
Ouvrir le fichier dans un éditeur de texte (Wordpad par exemple).
Supprimer la ligne:
localhost 127.0.0.1
Enregistrer le fichier puis fermer l'éditeur de texte.


Étape 9: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe--->Ajouté par le trojan WIN32.DNSCHANGER.S alias Flush.G
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB4D652-D41C-4318-8B35-841D55C9BACC}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{58A7A0E5-69F3-4A60-8FAF-5908EAA2E9C8}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F74A6D2-D9D9-4423-87EB-6BF1C9102F3B}: NameServer = 85.255.114.13,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC0FFC0-1C55-4539-9ADA-545045D073E5}: NameServer = 85.255.114.13,85.255.112.78


Étape 10: ewido anti-malware
Lancer ewido anti-malware et cliquer sur scanner puis sur Scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). Cocher aussi la case située devant "Effectuer cette action avec toutes les infections".
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).
Note: Si la manip sur les extensions à exclure du scan n'a pas produit l'effet escompté, choisir Scan rapide du système.


Étape 11: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du fichier) le fichier ci-dessous en ajoutant .non derrière son extension:

C:\WINDOWS\system32\yaemu.exe (à renommer en yaemu.exe.non)


Étape 12: Nettoyage
Exécuter l'antivirus, réglé au maximum (si l'antivirus ne démarre pas en mode sans échec, le signaler en réponse, après la fin de l'ensemble des étapes).
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner: dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 13: Connexion
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si vous utilisez un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Cliquer deux fois sur OK.
Faire de même avec les autres connexions réseau (si elles existent).


Étape 14: Fichier rasphone.pbk
1. Démarrer---->Rechercher---->Cliquer sur "Des fichiers ou des dossiers..."
2. Taper rasphone.pbk dans la zone de saisie "Une partie ou l'ensemble du nom de fichier:"
3. Vérifier (en dépliant la liste déroulante) que la zone "Rechercher dans:" est bien positionnée sur "C:"
4. Cliquer sur "Options avancées"
5. Cocher les cases situées devant "Rechercher dans les dossiers système", "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers"
6. Cliquer sur le bouton "Rechercher"
7. Si le fichier est trouvé, faire un clic droit dessus, choisir Ouvrir avec; Décocher la case située devant "Toujours utiliser ce programme pour ouvrir ce type de fichier" et faire un double clic sur Bloc-notes.
8. Dans ce fichier, supprimer les lignes:
IpDnsAddress = 85.255.116.51
IpDns2Address = 85.255.112.96
IpNameAssign = 2
9. Enregistrer le fichier (Menu Fichier---->Enregistrer), puis fermer le Bloc-notes.


Étape 15: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport d'ewido

en précisant si le problème est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.



A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités

cron