[OK] logs HijackThis analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] logs HijackThis analyse

Messagede wapasha » 20 Mar 2005, 13:17

bonjour, je n'arrive pas a me debarrasser de ce trojan :

TROJAN TROJ/LEECHPIE-A c:\WINDOWS\SYSTEM\msvcr71.dll

seul R9 me le detecte, je le vire en mode sans echec puis réinstalle la dll propre et des la premiere connection ; 1 scan de R9 et revoilà le leechpie dans ma dll.

voilà, on m'a conseillé l'analyse HijackThis dont voici le rapport.
merci.


Logfile of HijackThis v1.99.1
Scan saved at 13:05:44, on 20/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\CWCDATA\SMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\REAL\REALONE PLAYER\REALPLAY.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 ME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {B7A8386E-0D86-4C4C-B9F3-4D6923881764} - C:\WINDOWS\SYSTEM\KDC.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] systray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] rundll32.exe hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\Object Desktop\WindowBlinds\wbload.exe auto
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: SEARCH - {FE5A1910-F121-11d2-BE9E-01C04A7936B1} - http://www.zapros.com/find.htm (file missing)
O9 - Extra button: ENTERTAINMENT - {FE5A1910-F121-11d2-BE9E-01C04A7936B2} - http://www.zapros.com/av.htm (file missing)
O9 - Extra button: PILLS - {FE5A1910-F121-11d2-BE9E-01C04A7936B3} - http://www.zapros.com/med.htm (file missing)
O9 - Extra button: SECURITY - {FE5A1910-F121-11d2-BE9E-01C04A7936B4} - http://www.zapros.com/check.htm (file missing)
O9 - Extra button: SEARCH - {FE5A1910-F121-11d2-BE9E-01C04A7936B5} - http://www.zapros.com (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O13 - DefaultPrefix:
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381010.exe
O16 - DPF: {FA13A9FA-CA9B-11D2-9780-00104B242EA3} - http://install.wildtangent.com/bgn/part ... nstall.cab
O18 - Filter: text/html - {4A7159C7-1119-4954-9C08-C0F902264BF5} - C:\WINDOWS\SYSTEM\KDC.DLL
O18 - Filter: text/plain - {4A7159C7-1119-4954-9C08-C0F902264BF5} - C:\WINDOWS\SYSTEM\KDC.DLL
Avatar de l’utilisateur
wapasha
 
Messages: 179
Inscription: 20 Mar 2005, 00:59

Messagede nickW » 20 Mar 2005, 16:32

Bonjour,

Remarque préliminaire:
Au sujet de bps spyware & adware remover: Lire cette page et le désinstaller!

Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/--->correspond à atrivo.com basé à San Francisco. serait un spammeur. A "fixer" sauf si tu connais
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {B7A8386E-0D86-4C4C-B9F3-4D6923881764} - C:\WINDOWS\SYSTEM\KDC.DLL (file missing)--->inutile, fichier manquant
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: SEARCH - {FE5A1910-F121-11d2-BE9E-01C04A7936B1} - http://www.zapros.com/find.htm (file missing)--->inutile, fichier manquant
O9 - Extra button: ENTERTAINMENT - {FE5A1910-F121-11d2-BE9E-01C04A7936B2} - http://www.zapros.com/av.htm (file missing)--->inutile, fichier manquant
O9 - Extra button: PILLS - {FE5A1910-F121-11d2-BE9E-01C04A7936B3} - http://www.zapros.com/med.htm (file missing)--->inutile, fichier manquant
O9 - Extra button: SECURITY - {FE5A1910-F121-11d2-BE9E-01C04A7936B4} - http://www.zapros.com/check.htm (file missing)--->inutile, fichier manquant
O9 - Extra button: SEARCH - {FE5A1910-F121-11d2-BE9E-01C04A7936B5} - http://www.zapros.com (file missing)--->inutile, fichier manquant
O13 - DefaultPrefix:
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381010.exe
O16 - DPF: {FA13A9FA-CA9B-11D2-9780-00104B242EA3} - http://install.wildtangent.com/bgn/part ... nstall.cab
O18 - Filter: text/html - {4A7159C7-1119-4954-9C08-C0F902264BF5} - C:\WINDOWS\SYSTEM\KDC.DLL
O18 - Filter: text/plain - {4A7159C7-1119-4954-9C08-C0F902264BF5} - C:\WINDOWS\SYSTEM\KDC.DLL

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.
-**- toujours en mode sans échec, renommer le fichier
C:\WINDOWS\SYSTEM\KDC.DLL en KDC.DLL_
-**- toujours en mode sans échec, vérifier dans Internet Explorer que les "sites de confiance" ont bien été effacés

Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre (car il reste des programmes "superflus au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wapasha » 20 Mar 2005, 23:59

merci pour l'aide precieuse !

bon, j'ai bien fait tout ca, malheureusement le probleme reste present en pire car cette fois R9 n'a pas voulu le virer en mode SE.

sinon je n'ai pas de fichier KDC.DLL à renommer.

petite question en passant : comment se fait-il qu'à chaque scan (anti-virus, spybot, etc...) je vois defiler des fichiers du dossier temporary internet files alors qu'il est supposé etre vide ?

voilà le second log :


Logfile of HijackThis v1.99.1
Scan saved at 23:49:55, on 20/03/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\CWCDATA\SMONITOR.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 ME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] systray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundFusion] rundll32.exe hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\Object Desktop\WindowBlinds\wbload.exe auto
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O15 - Trusted IP range: 206.161.124.130 (HKLM)
Avatar de l’utilisateur
wapasha
 
Messages: 179
Inscription: 20 Mar 2005, 00:59

Messagede nickW » 21 Mar 2005, 00:27

Bonsoir,

As-tu esssayé une analyse en ligne par TrendMicro?
http://assiste.com.free.fr/p/antivirus_ ... ivirus.php


Dans Internet Explorer, Outils --> Options internet --> onglet Sécurité
Cliquer sur Sites de confiance, puis sur le bouton Sites
Dans la zone Sites Web, Supprimer toutes les lignes


Peux-tu vérifier si ces fichiers sont présents sur ton pc:
/windows/system/chg.dll
/windows/system/debug.dll
/windows/system/ntsvc.ocx
/windows/system/sig.dll
/windows/system32/admdll.dll
/windows/system32/raddrv.dll
/windows/system32/wbem/etc/0
/windows/system32/wbem/etc/1
/windows/system32/wbem/etc/2
/windows/system32/wbem/etc/3
/windows/system32/wbem/etc/4
/windows/system32/wbem/etc/5
/windows/system32/wbem/etc/6
/windows/system32/wbem/etc/7
/windows/system32/wbem/etc/8
/windows/system32/wbem/etc/9
/windows/system32/wbem/etc/GroupIdTable
/windows/system32/wbem/etc/Hosts.Rules
/windows/system32/wbem/etc/UserIdTable
/windows/system32/wbem/etc/admin.vfs
/windows/system32/wbem/etc/default.vfs
/windows/system32/wbem/etc/ioftpd.env
/windows/system32/wbem/groups/0
/windows/system32/wbem/groups/1
/windows/system32/wbem/groups/101
/windows/system32/wbem/groups/2
/windows/system32/wbem/groups/3
/windows/system32/wbem/groups/4
/windows/system32/wbem/groups/5
/windows/system32/wbem/groups/6
/windows/system32/wbem/groups/7
/windows/system32/wbem/groups/8
/windows/system32/wbem/groups/9
/windows/system32/wbem/groups/Default.Group
/windows/system32/wbem/scripts/exec.bat
/windows/system32/wbem/scripts/iozs/ioZS.exe
/windows/system32/wbem/scripts/iozs/ioZS.ini
/windows/system32/wbem/scripts/iozs/iozip.dll
/windows/system32/wbem/scripts/iozs/msvcr71.dll
/windows/system32/wbem/system/ioFTPD.ini
/windows/system32/wbem/system/smss.exe
/windows/system32/wbem/system/tcl84.dll
/windows/system32/wbem/system/uptime.exe
/windows/system32/wbem/text/ftp/alldn.body
/windows/system32/wbem/text/ftp/alldn.foot
/windows/system32/wbem/text/ftp/alldn.head
/windows/system32/wbem/text/ftp/allup.body
/windows/system32/wbem/text/ftp/allup.foot
/windows/system32/wbem/text/ftp/allup.head
/windows/system32/wbem/text/ftp/daydn.body
/windows/system32/wbem/text/ftp/daydn.foot
/windows/system32/wbem/text/ftp/daydn.head
/windows/system32/wbem/text/ftp/dayup.body
/windows/system32/wbem/text/ftp/dayup.foot
/windows/system32/wbem/text/ftp/dayup.head
/windows/system32/wbem/text/ftp/free.msg
/windows/system32/wbem/text/ftp/logout.msg
/windows/system32/wbem/text/ftp/monthdn.body
/windows/system32/wbem/text/ftp/monthdn.foot
/windows/system32/wbem/text/ftp/monthdn.head
/windows/system32/wbem/text/ftp/monthup.body
/windows/system32/wbem/text/ftp/monthup.foot
/windows/system32/wbem/text/ftp/monthup.head
/windows/system32/wbem/text/ftp/stat.msg
/windows/system32/wbem/text/ftp/stats.body
/windows/system32/wbem/text/ftp/stats.foot
/windows/system32/wbem/text/ftp/stats.head
/windows/system32/wbem/text/ftp/uinfo.msg
/windows/system32/wbem/text/ftp/welcome.msg
/windows/system32/wbem/text/ftp/who.bw
/windows/system32/wbem/text/ftp/who.download.body
/windows/system32/wbem/text/ftp/who.foot
/windows/system32/wbem/text/ftp/who.head
/windows/system32/wbem/text/ftp/who.idle.body
/windows/system32/wbem/text/ftp/who.upload.body
/windows/system32/wbem/text/ftp/wkdn.body
/windows/system32/wbem/text/ftp/wkdn.foot
/windows/system32/wbem/text/ftp/wkdn.head
/windows/system32/wbem/text/ftp/wkup.body
/windows/system32/wbem/text/ftp/wkup.foot
/windows/system32/wbem/text/ftp/wkup.head
/windows/system32/wbem/users/0
/windows/system32/wbem/users/10
/windows/system32/wbem/users/11
/windows/system32/wbem/users/12
/windows/system32/wbem/users/13
/windows/system32/wbem/users/14
/windows/system32/wbem/users/15
/windows/system32/wbem/users/16
/windows/system32/wbem/users/18
/windows/system32/wbem/users/19
/windows/system32/wbem/users/4
/windows/system32/wbem/users/5
/windows/system32/wbem/users/6
/windows/system32/wbem/users/7
/windows/system32/wbem/users/8
/windows/system32/wbem/users/9
/windows/system32/wbem/users/Default.User

Voir l'onglet Détails de http://www.sophos.fr/virusinfo/analyses ... hpiea.html

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wapasha » 21 Mar 2005, 01:29

l'analyse en ligne par TrendMicro ne fonctionne pas "erreur au moment du chargement de l'applet" rien a faire.

je n'ai aucun des fichiers de ta liste sur mon pc (du moins pas au chemin exact indiqué)

sinon, pour ma question sur les temporary internet files, ad-aware ma lui aussi scanné ces fichiés : c\windows\temporary internet files\Content.IE5\.....et les fichiers. pourtant, en utilisant le programme de recherche de windows, il ne trouve pas de dossier "Content.IE5" ?!? sait-tu comment ce fais-ce ? merci.
Avatar de l’utilisateur
wapasha
 
Messages: 179
Inscription: 20 Mar 2005, 00:59

Messagede Sphinx » 21 Mar 2005, 01:59

Salut Wapasha.
Le plantage de l'analyse de Trend (et des scans du même genre) signale à 90% de chances une infection virale et/ou par spyware, ou ... leur trace.
Apparemment ta machine semble à peu près clean d'après le log, mais on ne sait jamais.

Donc va voir sur "la manip" la procédure pour virer les spywares, et je te recommande vivement de vérifier ton antivirus.
Tu as AVAST, et hélas il est possible que soit il est désactivé donc inefficace, soit on ait affaire à un virus furtif (ou spyware furtif, on y vient). Cependant j'en doute un peu en voyant le lop.

Je dirais donc qu'un bon scan par spybot, adware SE, puis www.spywareguide.com (et online scan) ne feraient pas de mal à l'affaire. Ensuite, mettre à jour Windows, et s'il le faut vraiment, réinstaller IE en dernier recours (ça sauve la vie plus d'une fois mais SEULEMENT si on est sûr que la machine est saine).

@+++

PS: sinon préciser les symptômes "bizarres" qui trahiraient la présence d'une bestiole ou des bêtises qu'elle a faite... :)
Sphinx, le prédateur du bug ;)
NT 5.x/Sarge en multiboot, Viguard, KAV, Sophos, F-Prot, AVAST, A²free, Antivir, Kerio, Sygate, Outpost, Thunderbird/firefox, OOo 2, Spybot/Adaware, Ewido, Spampal, proxomitron/webwasher, 802.11g+, Spamassassin, ClamAV, Prelude, Guarddog, etc
Sphinx
 
Messages: 42
Inscription: 19 Mar 2005, 23:51
Localisation: Paris

Messagede nickW » 21 Mar 2005, 11:10

Bonjour,
wapasha a écrit:l'analyse en ligne par TrendMicro ne fonctionne pas


Quels sont tes paramètres Java?

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 21 Mar 2005, 11:19

Re-bonjour,
seul R9 me le detecte


Question (idiote peut-être): c'est quoi R9 ?

Re-salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede wapasha » 21 Mar 2005, 11:44

salut Sphinx, parmis les symptômes "bizarres" il y a le le fait que l'explorateur windows plante souvent à chaque fois que je veut enregistrer un fichier (peu importe lequel et peu importe l'application) ailleurs qu'à l'endroit proposé à l'ouverture de la fenetre.

ou trouve-je mes paramètres Java?

sinon R9 est un petit anti-adware/.... gratuit et en francais complementaire qui me trouve souvent des trucs qui echappent à spybot.

j'essaye "la manip" et les autres trucs et je vous tiens au courant.
Avatar de l’utilisateur
wapasha
 
Messages: 179
Inscription: 20 Mar 2005, 00:59

Messagede nickW » 21 Mar 2005, 12:06

Re-re-bonjour,

A lire sur Java:
http://assiste.com.free.fr/p/internet_c ... i_java.php
Surtout le paragraphe "Test de la bonne installation de JAVA" (as-tu un Dancing Duke qui danse??).

Quant à R9, il n'a que 5 références sur Google, ce qui est moins que peu.
Aucun commentaire d'utilisateur.
Pas de mise à jour depuis le 16/09/2004.
Il n'est même plus sur la page d'acceuil (sic) du site, ni sur la page Logithèque, mais seulement sur leur page archives

Si tu n'as vraiment aucun des fichiers cités par Sophos, je penche pour le "faux positif".

Re-re-salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités

cron