[OK] analyse de log hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] analyse de log hijackthis

Messagede petitesorcieredelanuit » 01 Mai 2005, 20:12

Bonsoir,

J'ai un petit soucis de virus qui se déclenche regulièrement et je n'arrive pas à m'en débarrasser.
Je post donc mon log hijackthis...
Merci beaucoup pour votre aide...

Pat

Logfile of HijackThis v1.99.1
Scan saved at 20:59:33, on 01/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\sécurité\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/f ... efault.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/f ... efault.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/f ... efault.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ciders.netfirms.com/mob/lan
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
Avatar de l’utilisateur
petitesorcieredelanuit
 
Messages: 9
Inscription: 22 Mar 2005, 12:29

Messagede nickW » 01 Mai 2005, 21:18

Bonsoir Pat,

Pas de trace de "malveillant" dans ton log.

De quelle façon se manifeste celui que tu appelles "virus"?

Dans ton log, tu pourrais retirer la ligne:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ciders.netfirms.com/mob/lan--->inutile, le site n'existerait plus??


D'autre part, tu pourrais alléger ton démarrage en en enlevant des programmes superflus:
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.

Sont dans ce cas:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u--->lire attentivement la liste de Pacman
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe--->lire attentivement la liste de Pacman
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Note importante sur la mise en œuvre de cette correction ("Fix") via HijackThis (cocher la case devant l'élément puis cliquer sur Fix Checked):
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- après exécution de HijackThis, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur.


Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede petitesorcieredelanuit » 01 Mai 2005, 21:46

Rebonsoir NickW

Pour répondre à ta question par rapport à la façon dont le virus se manifeste, c'est assez curieux car il est détecté de façon aléatoire par mon antivirus (avast !) sans raison particulière ( qu'il y ait ou non connexion à internet ).

Je donne le nom et la localisation des 2 derniers que j'ai mis en quarantaine, je ne sais pas si ça peut aider.

Nom : A0000293.exe Localisation : C:\Systeme Volume Information\_restore... ( détecté par avast ! pendant que j'avais lancé Ad aware lors de la mini manip pour le log Hijackthis)
Nom : A0001729.dll Localisation : idem ( celui a été détecté alors que la seule application ouverte était outlook)

Le nom change à chaque fois mais la localisation est toujours identique et je ne sais pas à quoi elle correspond... j'ai supprimée les premiers fichiers infestés compotants les virus mais bon apperemment ça n'a pas suffit...

Merci pour ton aide

Pat
Avatar de l’utilisateur
petitesorcieredelanuit
 
Messages: 9
Inscription: 22 Mar 2005, 12:29

Messagede nickW » 01 Mai 2005, 22:36

Re-Bonsoir,

J'ai trouvé ceci sur le forum d'avast!:
System volume information folder is used for system restore. I believe Avast doesnt scan this folder.
A virus in the system volume information folder cannot be cleaned, quarantined, moved or deleted.
In order to get rid of the virus you need disable system restore. This will delete everything in the folder.
If ad-aware scanned the system volume information folder then avast's real time scanner (standard shield) would scan the files being accessed, this triggering the virus alert.
http://forum.avast.com/index.php?PHPSESSID=e5edd1ac1eff3696e45fd0c6f6f64e5f&topic=13033.0

Avast! trouve des infections dans le dossier qui contient les fichiers pour la restauration système.
Normalement, Avast! ne balaye pas ce dossier, les fichiers qu'il contient ne pouvant être supprimés ni mis en quarantaine.
Si Ad-aware a scanné ce dossier, il a lu les fichiers et le module de protection en temps réel d'Avast! a réagi en signalant l'infection.
Seule solution proposée: désactiver la restauration système, ce qui efface tous les fichiers de ce dossier.

Avant de le faire, pourrais-tu me donner le nom du virus trouvé (je pense à un éventuel faux-positif)?

As-tu fait une mise à jour récemment des signatures de virus d'avast!?

A suire,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede petitesorcieredelanuit » 01 Mai 2005, 22:58

Re bonsoir NickW,

Merci pour ton info.
J'ai bien fait les dernières mises à jour pour Avast! (ainsi que la dernière base de données virales ).

Je donne le descriptif des 2 virus que j'ai encore en zone de quarantaine :

Nom de fichier original :A0000293.exe
Description du virus : Win32: Trojan-gen.{VC}

Nom de fichier original : A0001729.dll
Description du virus : Win32:Adhooker [Trj]

Mais il y un détail que je ne comprends pas :
Normalement, Avast! ne balaye pas ce dossier, les fichiers qu'il contient ne pouvant être supprimés ni mis en quarantaine.

J'ai pourtant réussi à les mettre en quarantaine ces fichiers infestés issus de "C:\Systeme Volume Information\_restore..."
Ou bien cela veut il dire que cette quarantaine ne sert à rien vu qu'ils seront systématiquement détecté par avast ! tant que je n'aurai pas désactivé la restauration du système ?

Je ne vois pas trop non plus pourquoi Avast! se met à controler ce dossier alors qu'il n'est pas censé le faire... (à moins d'avoir fait une mauvaise manip quelque part peut etre ? )

Merci encore

Pat
Avatar de l’utilisateur
petitesorcieredelanuit
 
Messages: 9
Inscription: 22 Mar 2005, 12:29

Messagede nickW » 02 Mai 2005, 00:02

Re-re-Arreuhhh,

Selon ce sujet:
http://forum.avast.com/index.php?topic=13065.msg110043
la détection de Win32 Trojan-gen serait un faux positif, une mise à jour le 28/4 ayant résolu ce problème.

Quant aux autres questions, n'utilisant pas avast!, je sèche un peu. :oops:
J'avais essayé de faire un résumé de ce qui se dit sur leur forum.

De toute façon, si les détections ne se font que dans le dossier Systeme Volume Information, tu es tranquille tant que tu n'utilises pas la restauration système. :wink:

Peut-être, pour te rassurer, peux-tu faire un scan en ligne du disque C avec un autre antivirus?
http://assiste.com.free.fr/p/antivirus_ ... _ligne.php

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 02 Mai 2005, 17:27

Bonsoir NickW,

Tout d'abord merci pour tes conseils.
J'ai désactivé la restauration du système comme tu me l'as suggeré et j'ai relancé par apres Ad-aware et avast! qui n'ont plus rien détecté. Apparemment ça a fonctionné...
Si d'aventure, ce virus est à nouveau détecté je procederais à un scan en ligne à ce moment là... mais ça m'a l'air d'être OK
:wink:

Bonne soirée à toi

Pat
Invité
 

Messagede nickW » 02 Mai 2005, 17:58

Bonjour Pat,

A lire:
http://assiste.com.free.fr/p/comment/ac ... ration.php

As-tu réactivé la restauration système?

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede petitesorcieredelanuit » 02 Mai 2005, 19:55

Re bonjour NickW,

Oui j'ai pensé à réactiver la restauration du système...
:D

bonne soirée :wink:


Pat
Avatar de l’utilisateur
petitesorcieredelanuit
 
Messages: 9
Inscription: 22 Mar 2005, 12:29


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités