Demande d'analyse d'un log HijackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse d'un log HijackThis

Messagede peter » 26 Oct 2004, 06:51

Pourriez vous SVP analyser cette liste et merci d'avance
Je suis dans la panade : ouverture intempestive de amateur.freegayspace.com omgtommysmm.tom
impossible de trouver res:shdoclc.dll/dnserror.htm
Je ne peux plus me servir de la connexion

Logfile of HijackThis v1.98.2
Scan saved at 15:33:59, on 25/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\usbsystem.exe
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\System32\svchostes.exe
C:\WINDOWS\System32\ajlvsk.exe
C:\WINDOWS\System32\winupdte.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\gubrby.exe
C:\WINDOWS\System32\crsss64.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Win Comm\WinLock.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://support.free.fr/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.free.fr:3128;ftp=proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Fichiers communs\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exe
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [Windows Compliant] ajlvsk.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\wingau32.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [pbmdnv] C:\WINDOWS\System32\gubrby.exe
O4 - HKLM\..\Run: [dgp] C:\WINDOWS\dgp.exe
O4 - HKLM\..\Run: [CRC Value Verifier] crsss64.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hxvqrm.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Windows Compliant] ajlvsk.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Servicio Local] svhost.exe
O4 - HKCU\..\Run: [WIN USB 2.0] usbsystem.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [Windows Compliant] ajlvsk.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Program Files\InterVideo\DVD5R\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8371007218
peter
 
Messages: 1
Inscription: 26 Oct 2004, 06:38

Messagede Jim Rakoto » 26 Oct 2004, 08:01

Salut


Belle usine à gaz........pollués
Rien que ceux-ci témoignent de la présence de vers

04- HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [Windows Compliant] ajlvsk.exe

Un oeil pour l'un d'entre eux :
http://securityresponse.symantec.com/av ... ksbot.html

Donc :
télécharger Spybot + Adaware + Stinger
Redémarrer en mode sans échec (touche F8 au démarrage) et en désactivant la restauration système (impératif pour ne pas devoir recommencer (touche Windows + touche pause )> désactiver
Effacer tous les fichiers temporaires (taper par ex. *.temp dans explorateur > effacer tous les fichiers trouvés + vider cache de IE

lancer Spybot (en ayant activé "traceurs d'activité" dans Réglages > modules additionnels)> lancer un scan
vérifier qu'il n'y a pas d'ActiveX ou BHO (voir dans Outils) qui ne seraient pas cochés en vert. Si c'est le cas > les effacer
cocher SDhelper et tea-timer
lancer Adaware
lancer antivirus et Stinger pour une analyse complète

Redémarrer PC

Pour la suite
Appliquer les patches de sécurité Microsoft
pour svhost, par ex.
http://it.trendmicro-europe.com/enterpr ... .E&VSect=T

installer un pare-feu. sauf erreur, je n'en vois pas
installer Spywareblaster et Spywareguard
pour les programmes, il suffit de cliquer en haut à gauche sur Assiste.com et de parcourir le menu dans la colonne de gauche.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 26 Oct 2004, 12:16

Bonjour Peter,

Applique scrupuleusement la procédure conseillée par Jim avant de reposter un log HJT.

Par curiosité j'ai soumis le log HJT à un script en ligne. C'est édifiant! 26 méchants "détectés".
C'est pour nous un record, même s'il y a des faux-positifs:
http://hijackthis.de/logfiles/f3c0b6216 ... 92374.html

Il faudra penser à sérieusement blinder ton PC et peut-être changer tes habitudes de surf.

@+

Digne de figurer au Guiness Book, le record, ce serait plus de mille espions sur un seul PC
Les usagers d'Internet sont moins en sûreté qu'ils ne le croient
25/10 - Cyberpresse (lire l'article)
C'est aux States, bien sûr
Un des usagers à domicile retenus pour cette étude financée par le gouvernement avait plus de 1000 logiciels-espions à l'oeuvre sur son ordinateur quand les enquêteurs l'ont examiné.

Un entraîneur de South Riding (Virginie), Bill Mines, ne s'en tirait pas mieux. L'ordinateur familial, vieux de trois ans, était infecté de virus et de 600 logiciels-espions.
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités