Analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Analyse de log

Messagede Kõjiro » 03 Juil 2005, 13:23

Bonjour et merci par avance de l'aide que vous pourrez m'apporter.

Depuis hier soir j'essaie de nettoyer l'ordinateur de mes beaux parents un peu malmené par mon beau frère. J'ai enlevé un peu plus de 1000 spywares, 2 ou 3 vers et un peu plus de trojans, viré 2 Go de fichiers temporaires et désintallé un bon nombre de trucs inutiles ou suspects mais je n'arrive pas à savoir si tout est ok.

Voici donc après plusieurs heures de nettoyage le log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 14:21:52, on 03/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\PestPatrol\PPControl.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SAGEM\SAGEM F@st800\DSLMON.exe
D:\Program Files\Logitech\Video\FxSvr2.exe
D:\Program Files\Logitech\SetPoint\KEM.exe
D:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Trousse de secours\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.233.167.104 www.symantec.com
O1 - Hosts: 64.233.167.104 www.sophos.com
O1 - Hosts: 64.233.167.104 www.mcafee.com
O1 - Hosts: 64.233.167.104 www.viruslist.com
O1 - Hosts: 64.233.167.104 www.f-secure.com
O1 - Hosts: 64.233.167.104 www.avp.com
O1 - Hosts: 64.233.167.104 www.kaspersky.com
O1 - Hosts: 64.233.167.104 www.networkassociates.com
O1 - Hosts: 64.233.167.104 www.ca.com
O1 - Hosts: 64.233.167.104 www.my-etrust.com
O1 - Hosts: 64.233.167.104 www.nai.com
O1 - Hosts: 64.233.167.104 www.trendmicro.com
O1 - Hosts: 64.233.167.104 securityresponse.symantec.com
O1 - Hosts: 64.233.167.104 symantec.com
O1 - Hosts: 64.233.167.104 sophos.com
O1 - Hosts: 64.233.167.104 mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com
O1 - Hosts: 64.233.167.104 viruslist.com
O1 - Hosts: 64.233.167.104 f-secure.com
O1 - Hosts: 64.233.167.104 kaspersky.com
O1 - Hosts: 64.233.167.104 kaspersky-labs.com
O1 - Hosts: 64.233.167.104 avp.com
O1 - Hosts: 64.233.167.104 networkassociates.com
O1 - Hosts: 64.233.167.104 ca.com
O1 - Hosts: 64.233.167.104 mast.mcafee.com
O1 - Hosts: 64.233.167.104 my-etrust.com
O1 - Hosts: 64.233.167.104 download.mcafee.com
O1 - Hosts: 64.233.167.104 dispatch.mcafee.com
O1 - Hosts: 64.233.167.104 secure.nai.com
O1 - Hosts: 64.233.167.104 nai.com
O1 - Hosts: 64.233.167.104 update.symantec.com
O1 - Hosts: 64.233.167.104 updates.symantec.com
O1 - Hosts: 64.233.167.104 us.mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantec.com
O1 - Hosts: 64.233.167.104 customer.symantec.com
O1 - Hosts: 64.233.167.104 rads.mcafee.com
O1 - Hosts: 64.233.167.104 trendmicro.com
O1 - Hosts: 64.233.167.104 sandbox.norman.no
O1 - Hosts: 64.233.167.104 www.pandasoftware.com
O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PrinTray] D:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KAZAA] D:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\Run: [serpe] D:\WINDOWS\system32\serbw.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [mmtask] "D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\RunServices: [serpe] D:\WINDOWS\system32\serbw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st800\DSLMON.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... zeb032YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21FA2F9D-AB86-45F4-A8D9-DD24844B776B}: NameServer = 212.27.54.252 213.228.0.212
O17 - HKLM\System\CS1\Services\Tcpip\..\{21FA2F9D-AB86-45F4-A8D9-DD24844B776B}: NameServer = 212.27.54.252 213.228.0.212
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci de m'indiquer si ça vous inspire quelque chose :)
Kõjiro
 
Messages: 4
Inscription: 21 Juin 2005, 12:09
Localisation: Paris

Messagede nickW » 03 Juil 2005, 13:56

Analyse en cours.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 03 Juil 2005, 14:34

Bonjour,

Que voici, que voilà une belle infection par W32/Sumom-A alias W32.Serflog.A!


Un outil de suppression, par Symantec:
http://securityresponse.symantec.com/av ... .tool.html

Mise en oeuvre:
Télécharger FixSflog.exe depuis http://securityresponse.symantec.com/av ... xSflog.exe
Fermer toutes les fenêtres actives.
Se déconnecter d'Internet (arrêter la connexion).
Désactiver la restauration système. Voir ICI.
Double clic sur FixSflog.exe pour le lancer, puis clic sur Start
Prendre note des résultats (les copier dans un fichier texte).
Redémarrer.
Exécuter FixSflog.exe une seconde fois.
Prendre note des résultats (les copier dans un fichier texte).

Créer un nouveau log HijackThis, et l'envoyer ici en réponse, avec les résultats de l'exécution de FixSflog.

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kõjiro » 03 Juil 2005, 15:22

Déjà merci bcp !

Ensuite j'ai, avant la mise en oeuvre de la solution, deux pb...

1- impossible de télécharger le logiciel en question : les deux liens que tu me donne me conduisent vers une page "Google Error" indiquant :

Not Found
The requested URL /avcenter/venc/data/w32.serflog.removal.tool.html was not found on this server.

Je pressens un truc anormal là...

Impossible également de trouver ce logiciel sur Télécharger.com...

2- j'ai regardé pour désactiver la restauration du système de Windows XP et il y a aussi un truc qui cloche je n'ai pas d'onglet "restauration du système" dans les propriétés système du poste de travail (après avoir suivi les étapes précédente sans pb).

J'avoue que du coup je suis un peu perdu :cry:

Que faire ?

Merci encore de m'apporter ton aide !

Edit : J'ai essayé différents liens pour le récupérer mais j'ai toujours la même page d'erreur, du coup j'essaie de me faire envoyer le .exe par quelqu'un mais par contre pour l'onglet de "restauration du système" je suis un peu perplexe sur ce que je peux faire...
Kõjiro
 
Messages: 4
Inscription: 21 Juin 2005, 12:09
Localisation: Paris

Messagede nickW » 03 Juil 2005, 16:53

Bonjour,


Etape Préliminaire pour le téléchargement:

renommer le fichier
C:\WINDOWS\system32\drivers\etc\hosts en hosts.non

Télécharger le fichier, puis renommer le fichier hosts.non en hosts (sans aucune extension).

A suivre,


Edité:
C'est W32.Serflog.A qui t'empêche de toucher aux paramètres de restauration système.
Donc, il faut d'abord l'éradiquer.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kõjiro » 03 Juil 2005, 18:55

Bonsoir,

Alors le premier log de FixSflog :

Symantec W32.Serflog Removal Tool 1.1.2

D:\British National Party.jpg: (deleted)
D:\Message to n00b LARISSA.txt: (deleted)

registry: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore: DisableSR (value deleted)
registry: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore: DisableConfig (value deleted)
registry: HKEY_USERS\S-1-5-21-1993962763-492894223-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced: Hidden (value set to 0x00000001 (1))
registry: HKEY_USERS\S-1-5-21-1993962763-492894223-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced: Hidden (value set to 0x00000001 (1))

W32.Serflog has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 65734
The number of deleted threat files: 2
The number of threat processes terminated: 0
The number of registry entries fixed: 4


Le second :

Symantec W32.Serflog Removal Tool 1.1.2

W32.Serflog has not been found on your computer.


A priori FixSflog a donc bien oeuvré.

Et pour finir le nouveau log d'HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 19:50:46, on 03/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\PestPatrol\PPControl.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\SAGEM\SAGEM F@st800\DSLMON.exe
D:\Program Files\Logitech\SetPoint\KEM.exe
D:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
D:\Program Files\Logitech\Video\FxSvr2.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Trousse de secours\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 64.233.167.104 www.symantec.com
O1 - Hosts: 64.233.167.104 www.sophos.com
O1 - Hosts: 64.233.167.104 www.mcafee.com
O1 - Hosts: 64.233.167.104 www.viruslist.com
O1 - Hosts: 64.233.167.104 www.f-secure.com
O1 - Hosts: 64.233.167.104 www.avp.com
O1 - Hosts: 64.233.167.104 www.kaspersky.com
O1 - Hosts: 64.233.167.104 www.networkassociates.com
O1 - Hosts: 64.233.167.104 www.ca.com
O1 - Hosts: 64.233.167.104 www.my-etrust.com
O1 - Hosts: 64.233.167.104 www.nai.com
O1 - Hosts: 64.233.167.104 www.trendmicro.com
O1 - Hosts: 64.233.167.104 securityresponse.symantec.com
O1 - Hosts: 64.233.167.104 symantec.com
O1 - Hosts: 64.233.167.104 sophos.com
O1 - Hosts: 64.233.167.104 mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com
O1 - Hosts: 64.233.167.104 viruslist.com
O1 - Hosts: 64.233.167.104 f-secure.com
O1 - Hosts: 64.233.167.104 kaspersky.com
O1 - Hosts: 64.233.167.104 kaspersky-labs.com
O1 - Hosts: 64.233.167.104 avp.com
O1 - Hosts: 64.233.167.104 networkassociates.com
O1 - Hosts: 64.233.167.104 ca.com
O1 - Hosts: 64.233.167.104 mast.mcafee.com
O1 - Hosts: 64.233.167.104 my-etrust.com
O1 - Hosts: 64.233.167.104 download.mcafee.com
O1 - Hosts: 64.233.167.104 dispatch.mcafee.com
O1 - Hosts: 64.233.167.104 secure.nai.com
O1 - Hosts: 64.233.167.104 nai.com
O1 - Hosts: 64.233.167.104 update.symantec.com
O1 - Hosts: 64.233.167.104 updates.symantec.com
O1 - Hosts: 64.233.167.104 us.mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantec.com
O1 - Hosts: 64.233.167.104 customer.symantec.com
O1 - Hosts: 64.233.167.104 rads.mcafee.com
O1 - Hosts: 64.233.167.104 trendmicro.com
O1 - Hosts: 64.233.167.104 sandbox.norman.no
O1 - Hosts: 64.233.167.104 www.pandasoftware.com
O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PrinTray] D:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KAZAA] D:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\Run: [serpe] D:\WINDOWS\system32\serbw.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [mmtask] "D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\RunServices: [serpe] D:\WINDOWS\system32\serbw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st800\DSLMON.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... zeb032YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21FA2F9D-AB86-45F4-A8D9-DD24844B776B}: NameServer = 212.27.54.252 213.228.0.212
O17 - HKLM\System\CS1\Services\Tcpip\..\{21FA2F9D-AB86-45F4-A8D9-DD24844B776B}: NameServer = 212.27.54.252 213.228.0.212
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe


Je tiens à te remercier à nouveau de m'avoir guidé jusqu'ici.

A bientôt.
Kõjiro
 
Messages: 4
Inscription: 21 Juin 2005, 12:09
Localisation: Paris

Messagede nickW » 03 Juil 2005, 19:25

Bonsoir,

Voici la suite, mais pas encore la fin:

Etape 1:
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Etape 2:
Désinstaller MyWebSearch
Démarrer--->Paramètres--->Panneau de configuration--->Ajout/Suppression de programmes
Supprimer, s'ils existent, les programmes:
My Web Search
My Way Speedbar
My Way Speedbar
My Way Speedbar
Search Assistant - My Way
Note: pas d'inquiétude si aucun de ces programmes n'apparaît.


Etape 3:
Corriger le fichier hosts
Aller jusqu'au dossier C:\WINDOWS\system32\drivers\etc
Ouvrir le fichier hosts (sans extension) dans un éditeur de texte (Notepad, le "bloc-notes" de Windows, ou Wordpad par exemple).
Supprimer toutes les lignes qui commencent par 64.233.167.104
Attention: si après avoir enregistré le fichier corrigé il se nomme hosts.txt, il faut le renommer en retirant l'extension .txt
Des infos sur le fichier hosts: http://assiste.com.free.fr/p/internet_c ... /hosts.php


Etape 4:
Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked) [Voir la Note importante: ci-dessous]:

O4 - HKLM\..\Run: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\Run: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\Run: [serpe] D:\WINDOWS\system32\serbw.exe
O4 - HKLM\..\RunServices: [avnort] D:\WINDOWS\msmbw.exe
O4 - HKLM\..\RunServices: [ltwob] D:\WINDOWS\system32\formatsys.exe
O4 - HKLM\..\RunServices: [serpe] D:\WINDOWS\system32\serbw.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... zeb032YYFR

Note importante sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- Ici doit se placer l'utilisation de HijackThis
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.
-**- toujours en mode sans échec, renommer les fichiers
D:\WINDOWS\msmbw.exe en msmbw.exe_
D:\WINDOWS\system32\formatsys.exe en formatsys.exe_
D:\WINDOWS\system32\serbw.exe en serbw.exe_

Puis redémarrer l'ordinateur en mode normal.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

A suivre (car il reste des programmes "superflus au démarrage" à supprimer, ainsi que d'autres conseils à lire),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Kõjiro » 03 Juil 2005, 21:28

Merci encore.

Par contre, je reprendrais le nettoyage le week end prochain vu que là je suis rentré chez moi (et donc n'ait plus accès à l'ordinateur en question).

A suivre donc.

Bonne fin de soirée et à bientôt.
Kõjiro
 
Messages: 4
Inscription: 21 Juin 2005, 12:09
Localisation: Paris

Messagede Vazkor » 04 Juil 2005, 04:10

Bonjour,

N'existe-t-il pas dans Windows XP un programme qui permet de prendre le contrôle à distance d'un PC?

Sinon, il y RAdmin, qui fait très bien l'affaire et évite de devoir se déplacer.

C'est pas un troyen dans la mesure où il faut le consentement de la personne. Mais après cela on est maître à bord du PC contrôlé.

Il suffit de demander à la personne qu'on veut aider de communiquer l'IP de son PC et le mot de passe d'accès.
L'idéal bien sûr est de lui demander de rester devant son PC et communiquer par mail ou par téléphone, quand c'est nécessaire.

Plus d'infos:
http://www.adc-soft.com/radmin.htm
Par exemple, lorsque nous avons testé un programme célèbre qui est largement répandu, VNC (Virtual Network Computing, AT&T product), nous avons découvert que Radmin fonctionne 150 fois (!!!) plus rapidement que VNC.*

Coût 35 € (pour 1 licence).

En anglais: http://www.radmin.com

En français: http://www.bonweb.com/share/clictr.php?s=48722&org=bw

Version trial http://www.radmin.com/radmin21.zip
Aide en français: http://www.adc-soft.com/files/help_fr.zip

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 42 invités

cron