demande d analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

demande d analyse

Messagede thetoinne » 23 Aoû 2004, 18:36

bonjour ,

je suis nouveau dans se forum que j ai decouvert grace a :http://assiste.com.free.fr/p/frameset/07_hijackthis.php.

apres plusieurs tentative , je n arrive pas a me debarraser de trojan et je ne sais encors quoi de mon ordinateu.

mon anti virus les trouve mais n arrive pas a les effacer et tous les logiciels que j ai telecharger sont comme mon anti virus ,
personne n arrive a me les supprimer .

si quelqu un peux m aider je lui serais tres reconnaissant.

voici ce que me trouve hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 19:32:27, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC04.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realevent.exe
C:\unzipped\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.50.184.51/find4u/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=3039450
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=3039450
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Program Files\TV Media\TvmBho.dll
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL (file missing)
O2 - BHO: (no name) - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CD209A08-98B5-4669-AF9F-447AC5253356} - C:\WINDOWS\System32\CSapp.dll
O2 - BHO: (no name) - {F3024670-4121-092D-52CD-4493B533C95E} - C:\WINDOWS\System32\ATHPRXXZ.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [{2CF0B992-5EEB-4143-99C2-5297EF71F44B}] rundll32.exe C:\WINDOWS\System32\stlbupdt.DLL,DllRunMain
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BTV] "C:\Program Files\BTV\btv.exe"
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\sakwyrt.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\fuazcl.exe
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [OpiStat] C:\PROGRA~1\OpiStat\OpiStat\OpiStat.exe
O4 - HKLM\..\Run: [hqx] C:\WINDOWS\hqx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [warez] "C:\Program Files\Warez P2P Client\warez.exe" -h
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Browser Pal Toolbar (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'nmtracer.dll' missing
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/se ... r_cert.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {90D610E8-F6D0-4AD4-93CE-178A46F8C412} (Hamlet Class) - http://htmldialer.parisvoyeur.com/CABSP ... phelie.cab
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/14400 ... 1.14.0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://sea1fd.sea1.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{271E82EC-AC73-4A94-978E-207014C544DA}: NameServer = 213.36.80.1 213.36.80.1
thetoinne
 
Messages: 3
Inscription: 23 Aoû 2004, 18:27

Messagede bay » 23 Aoû 2004, 19:23

Bonsoir, il existe un unistall pour ce parasite , disponible sur ce site(best-search.cc/contact.html ) , lien direct cleaner.exe a tester pour l'éradication , sous toutes réserve !
De toute facon vous avez d'autres infections , entre autre un dialer
O16 - DPF: {90D610E8-F6D0-4AD4-93CE-178A46F8C412} (Hamlet Class) - http://htmldialer.parisvoyeur.com/CABSP ... Ophelie.ca

et également New.net .
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede nickW » 23 Aoû 2004, 19:31

Bonsoir,
Et je dirais même plus, il y a une version 1.98.2 de HiJackThis.
Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bay » 23 Aoû 2004, 19:53

Bonsoir , l'utilisation de Cwshredder peut résoudre une partie des problèmes cwshredder :wink:
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Sebastien.B » 23 Aoû 2004, 20:02

Bonsoir,

Et ben il y a du boulot!

As tu appliqué à la lettre la Manip de Pierre avant de poster ton log Hijack this?:
http://assiste.com/manip.html
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Vazkor » 23 Aoû 2004, 20:26

Bonsoir,

Il faudrait rappeler à chaque fois que le rapport HijackThis ne doit être fourni qu'après avoir appliqué au moins la Mini-Manip et qu'il faut préciser ce que l'on a déjà fait et avec quels résultats.

Sebastien,
Ton logo est très joli, mais si tu le rendais un peu plus discret ce serait pas plus mal: réduire les dimensions par deux me semblerait suffisant.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sebastien.B » 23 Aoû 2004, 21:10

Voici le lien pour la mini manip que tu aurais du effectuer avant de poster ton log:
http://terroirs.denfrance.free.fr/forum ... php?t=2109

Pour le logo c'est fait.
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Vazkor » 23 Aoû 2004, 22:28

Merci Sébastien,

Et maintenant ton logo rentre dans le moule. :wink:
J'espère que sur ton site tu mets le logo d'Assiste.com bien en évidence.

Pierre n'a rien contre le fait que tu le copies et l'adaptes point de vue dimensions pour mettre un lien.
Par contre le plagiat, c'est toujours très mal vu...

Son logo est très joli, mais ne supporte pas la réduction parce que le texte en petit caractères devient illisible.
Parce que je suis bon prince (parfois), j'ai masqué ce petit texte en attendant que Pierre, surchargé de travail s'en occupe.
Voilà le résultat:
Image

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sebastien.B » 24 Aoû 2004, 08:28

Slt Vazkor,


Bien sur que j'ai mis des liens vers le site d'assiste.com, j'essaie même d'en parler le plus souvent possible en disant que c'est le meilleur site de sécurité français.
Je vais essayer de voir pour rajouter ce logo. :)
Je ne sais pas si tu es allé voir mon forum mais en fait quand je dis que je me suis inspiré du forum de Pierre c'est
que j'ai créé 2 sections comme Pierre: "Internet et protection de la vie privée" et une pour les logs hijack This.
Sinon j'ai également créé une Manip, cependant je n'ai pas du tout copié sur celle de Pierre je l'ai créée moi même avec les quelques connaissances que j'ai, elle est donc bcp plus simple à exécuter.

Tiens j'ai une idée pour le logo de Pierre que tu as retouché, je vais le mettre dans la news défilante sur la page d'accueil du forum,
son logo est vraiment bien!

Si tu as le tps passe y faire un tour tu pourras constater tout ça.

@+
Sébastien
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Vazkor » 24 Aoû 2004, 14:51

Bonjour Sébastien,

Il est très bien ton site.

Juste un petit bémol. Ton orthographe!!!
Surtout pour les pages d'accueil, les annonces, etc. Bref ce que des centaines puis des milliers de visiteurs vont lire, tu ferais bien de faire un copier coller dans Word ou mieux dans l'éditeur de texte de OpenOffice et de lancer le contrôle orthographique, qui va déjà te marquer tous les mots qu'il ne reconnaît pas, parce que mal orthographiés ou absent du dictionnaire.

Tu peux aussi vérifier avec des dictionnaires en ligne. Fais aussi bien attention à bien te relire parce qu'un contrôleur d'orthographe ne pourra jamais signaler toutes les fautes d'accord, les mots en double ou manquants.

Si tu fais souvent la même faute, tu peux utiliser une éditeur de texte niveau professionnel comme UltraEdit, qui te permet de remplacer à la volée un mot dans tous les fichiers *.ext d'un arborescence.
C'est un programme que j'utilise depuis des années. Je l'ai toujours trouvé génial et je ne voudrais plus m'en passer. Il coûte une trentaine d'euros mais j'ai jamais regretté d'avoir payé la licence.
Ce programme se lance systématiquement à la place du notepad.exe, puisque j'ai remplacé cet exécutable par un petit programme qui appelle UltraEdit. L'infame Notepad.exe a été renommé en Blocnotes.exe, juste pour le cas où.

Je ne m'inscris pas sur tes forums. Je ne voudrais pas les hijacker!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 18 invités