analyse HiJackThis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

analyse HiJackThis

Messagede ipomée » 17 Oct 2005, 23:27

bonsoir à tous
suite à "coatching" de vaskor sur forum a-squared (merci vaskor...;-)), je viens de faire mini-manip...
voilà le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 00:14:16, on 18/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\smsc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\shs1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\System32\dwwin.exe
C:\DOCUME~1\ipomée\LOCALS~1\Temp\Rar$EX00.073\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqol.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\nnnom.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [wupdate32] C:\shs1.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\exe82.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66801FB2-EF61-4647-ABDA-143B9AA5DEAB}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll
O20 - Winlogon Notify: ssqol - C:\WINDOWS\SYSTEM32\ssqol.dll
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe


merci d'avance pour votre analyse...
ipomée
ipomée
 
Messages: 7
Inscription: 17 Oct 2005, 21:52

Messagede Intel » 17 Oct 2005, 23:46

Bonsoir :D

T'as version IE6 n'est pas à jour :o :Mouaaarrrrffffffff:
Sinan ben c'est pas moi qui va t'aider, y a une pro pour ça :)

Moi je dirais juste que

C:\WINDOWS\smsc.exe c'est :twisted:
Image
Avatar de l’utilisateur
Intel
 
Messages: 607
Inscription: 03 Juil 2005, 21:43

Messagede nickW » 18 Oct 2005, 08:02

Bonjour,

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\Program Files\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.

La procédure se déroule en deux parties (j'ai besoin de ta réponse lors de l'étape 8 pour continuer).


Voici la première partie:


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 3: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido security suite
Télécharger la version d'essai de ewido security suite depuis http://www.ewido.net/en/download/
L'installer. Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".
Lancer ewido security suite. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire).
Attendre la fin de cette mise à jour puis fermer le programme.


Étape 5: Process Explorer
Télécharger Process Explorer par Sysinternals depuis:
http://www.sysinternals.com/files/procexpnt.zip
Décompresser l'archive dans un répertoire qui lui est réservé, par exemple C:\Program Files\procexp


Étape 6: Killbox
Télécharger TheKillbox depuis http://www.downloads.subratam.org/KillBox.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\killbox


Étape 7: DelDomains.inf
Faire un clic droit sur le lien ci-dessous, et choisir "Enregistrer sous..."
L'enregistrer dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans C:\DelDomains.inf)
http://www.mvps.org/winhelp2002/DelDomains.inf
Faire un clic droit (bouton droit de la souris) sur le fichier DelDomains.inf, et choisir "Installer"
Note: Ce "programme" va supprimer la totalité des sites de confiance d'Internet Explorer (puisque des intrus s'y sont glissés). Il faudra peut-être que tu resaisisses les sites qui sont pour toi de vrais sites de confiance.


Etape 8: Recherche
Aller sur http://www.billsway.com/vbspage/ et descendre jusqu'à Registry Search Tool
Télécharger RegSrch.zip, le décompresser dans un dossier qui lui est réservé (par exemple C:\Program Files\RegSrch), puis lancer RegSrch.vbs en faisant un clic droit dessus et en choisissant Ouvrir avec l'invite de commandes.

Taper {8DBF02DA-4360-4A7E-BEA1-347B87816327} dans la zone Enter search string... puis cliquer sur OK.

Laisser le script tourner (chez moi, cela a duré 74 secondes), une p'tite fenêtre annonce le nombre d'occurrences trouvées.
Cliquer sur OK pour copier le résultat dans Wordpad.
Important: Enregistrer ce fichier (Fichier ---> Enregistrer sous).

Copier le contenu de ce fichier en réponse.
Envoyer aussi un nouveau log HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Vazkor » 18 Oct 2005, 09:12

Bonjour,

J'aimerais savoir où est passée la réponse à Ipomée que j'ai postée vers six heures du matin.

Je ne vois donc aucun raison d'avoir supprimé mon message!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9798
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede ipomée » 18 Oct 2005, 11:23

salut nickw, vaskor, intel,
après matinée acharnée sur pc (ai tenté de suivre consignes à la lettre...), sans résultats.
impossible de télécharger dans un dossier "indépendant, j'ai donc télécharger où j'ai pu puis j'ai déplacé dans program files... je n'arrive pas à ouvrir les prog, reçois regulièrement des "le programme ne répond pas et doit fermé" ou variante "iexplore.exe rencontre problèmes et doit fermé".
j'ai déplacé hijack, lui ai redemander un scan, ce qu'il fait mais à "save log" il bloque...j'ai quand même réussi à sortir ça:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:21, on 18/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mspathfinder
C:\WINDOWS\smsc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\shs1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqol.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\nnnom.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [wupdate32] C:\shs1.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\exe82.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66801FB2-EF61-4647-ABDA-143B9AA5DEAB}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll
O20 - Winlogon Notify: ssqol - C:\WINDOWS\SYSTEM32\ssqol.dll
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: Microsoft Path Finder Service (mspathfinder) - Unknown owner - C:\WINDOWS\mspathfinder
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe


ipomée
ipomée
 
Messages: 7
Inscription: 17 Oct 2005, 21:52

Messagede nickW » 18 Oct 2005, 12:30

Re-bonjour,

Il faut créer un dossier HJT dans C:\Program Files et déplacer HijackThis.exe dans ce nouveau dossier C:\Program Files\HJT

Il est indispensable d'avoir téléchargé et les outils cités dans les étapes 3, 4, 5, 6 et 7 de la procédure précédente, c'est-à-dire les programmes Ccleaner, ewido security suite, Process Explorer, Killbox et DelDomains.inf
Essaie de redémarrer en mode normal, et de suivre tranquillement ces étapes de la procédure précédente avant de commencer cette seconde partie.


Voici maintenant la seconde partie (forcément incomplète, puisque je n'ai pas le log de RegSrch.vbs!):


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).


Étape 1: Création du fichier tuer-msevents.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-msevents.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnom]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqol]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}]





Étape 2: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: Services
Arrêter deux services:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à AOL Instant Messenger
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\rofl.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Faire de même avec System Manager Service, avec comme fichier exécutable C:\WINDOWS\smsc.exe


Étape 5
Fermer le plus possible de fenêtres.
Pas d'Internet Explorer ouvert.


Étape 6: Utilisation de Process Explorer
Lancer le programme en faisant un double clic sur procexp.exe.

Dans la partie haute de l'écran de Process Explorer faire un double clic sur winlogon.exe pour ouvrir la fenêtre des propriétés de winlogon.exe.
Cliquer sur l'onglet Threads en haut.

Dans le nouvel écran, faire un simple clic sur chaque occurrence de nnnom.dll puis cliquer sur le bouton Kill.

Après avoir tué tous les nnnom.dll sous winlogon cliquer sur ok.

Ensuite faire un double clic sur explorer.exe et de la même façon, cliquer sur chaque occurrence de nnnom.dll puis sur le bouton Kill. Ceci fait, cliquer de nouveau sur ok.
Fermer Process Explorer.


Étape 7: HijackThis
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqol.dll--->Ajouté par Win32.ConHook.l
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\nnnom.dll
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe--->Variante de Windupdates 180Solutions
O4 - HKLM\..\Run: [wupdate32] C:\shs1.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\exe82.exe
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c8.cab
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll
O20 - Winlogon Notify: ssqol - C:\WINDOWS\SYSTEM32\ssqol.dll
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe--->Ajouté par W32/Sdbot-ADY


Étape 8: Utilisation de tuer-msevents.reg
Faire un clic droit sur tuer-msevents.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 9: Utilisation de KillBox
Lancer Killbox d'un double clic sur Killbox.exe
Ne toucher à aucun bouton.

Choisir "Delete on Reboot".

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\System32\nnnom.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "Yes" sur l'invite Pending Operations.

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\System32\ssqol.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "No" sur l'invite Pending Operations.

L'ordinateur redémarre, choisir le mode sans échec (touche F8).


Étape 10: Mode sans échec
Si ce n'est déjà fait, redémarrer en mode sans échec.
Fermer le plus possible de fenêtres.
Pas d'Internet Explorer ouvert.


Étape 11: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 12: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:
C:\Program Files\Media Gateway en Media Gateway.non

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:
C:\shs1.exe en shs1.exe.non
C:\WINDOWS\exe82.exe en exe82.exe.non
C:\WINDOWS\rofl.exe en rofl.exe.non
C:\WINDOWS\smsc.exe en smsc.exe.non


Étape 13: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 14: Redémarrage
Redémarrer en mode normal, générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido et les résultats des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ipomée » 18 Oct 2005, 15:24

re!
alors voilà, j'ai repris tout l'étape 1...

rapport regSrch:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{8DBF02DA-4360-4A7E-BEA1-347B87816327}" 18/10/2005 16:03:44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CLSID]
@="{8DBF02DA-4360-4A7E-BEA1-347B87816327}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1\CLSID]
@="{8DBF02DA-4360-4A7E-BEA1-347B87816327}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]


rapport hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:09:11, on 18/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mspathfinder
C:\WINDOWS\smsc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\shs1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\process\procexp.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqol.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\nnnom.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [wupdate32] C:\shs1.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\exe82.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Lancer Voissa Anonymo - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {C80DDAAA-310C-459B-9535-8370B4EBDA1F} - C:\Program Files\Voissa anonymo\Voissaanonymo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll
O20 - Winlogon Notify: ssqol - C:\WINDOWS\SYSTEM32\ssqol.dll
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Microsoft Path Finder Service (mspathfinder) - Unknown owner - C:\WINDOWS\mspathfinder
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe

c'est mieux? :? :shock: :D
qu'est ce que je fais, je passe à étape 2?

ipomée
ipomée
 
Messages: 7
Inscription: 17 Oct 2005, 21:52

Messagede nickW » 18 Oct 2005, 16:26

Re-bonjour,

Oui, c'est ce que j'attendais. :wink:

Je recopie ci-dessous ce que tu dois effectuer maintenant:

Il faut créer un dossier HJT dans C:\Program Files et déplacer HijackThis.exe dans ce nouveau dossier C:\Program Files\HJT

Normalement, ceci doit être fait:
Il est indispensable d'avoir téléchargé et les outils cités dans les étapes 3, 4, 5, 6 et 7 de la procédure précédente, c'est-à-dire les programmes Ccleaner, ewido security suite, Process Explorer, Killbox et DelDomains.inf
Essaie de redémarrer en mode normal, et de suivre tranquillement ces étapes de la procédure précédente avant de commencer cette seconde partie.



Voici maintenant la seconde partie:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).


Étape 1: Création du fichier tuer-msevents.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-msevents.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnom]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqol]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8DBF02DA-4360-4A7E-BEA1-347B87816327}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}]





Étape 2: Restauration système
Désactiver la restauration système.
http://assiste.com.free.fr/p/comment/ac ... ration.php


Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: Services
Arrêter deux services:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à AOL Instant Messenger
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\rofl.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Faire de même avec System Manager Service, avec comme fichier exécutable C:\WINDOWS\smsc.exe


Étape 5
Fermer le plus possible de fenêtres.
Pas d'Internet Explorer ouvert.


Étape 6: Utilisation de Process Explorer
Lancer le programme en faisant un double clic sur procexp.exe.

Dans la partie haute de l'écran de Process Explorer faire un double clic sur winlogon.exe pour ouvrir la fenêtre des propriétés de winlogon.exe.
Cliquer sur l'onglet Threads en haut.

Dans le nouvel écran, faire un simple clic sur chaque occurrence de nnnom.dll puis cliquer sur le bouton Kill.

Après avoir tué tous les nnnom.dll sous winlogon cliquer sur ok.

Ensuite faire un double clic sur explorer.exe et de la même façon, cliquer sur chaque occurrence de nnnom.dll puis sur le bouton Kill. Ceci fait, cliquer de nouveau sur ok.
Fermer Process Explorer.


Étape 7: HijackThis
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqol.dll--->Ajouté par Win32.ConHook.l
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\nnnom.dll
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe--->Variante de Windupdates 180Solutions
O4 - HKLM\..\Run: [wupdate32] C:\shs1.exe
O4 - HKLM\..\Run: [:C=e] C:\WINDOWS\exe82.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... dge-c8.cab
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll
O20 - Winlogon Notify: ssqol - C:\WINDOWS\SYSTEM32\ssqol.dll
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe--->Ajouté par W32/Sdbot-ADY


Étape 8: Utilisation de tuer-msevents.reg
Faire un clic droit sur tuer-msevents.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 9: Utilisation de KillBox
Lancer Killbox d'un double clic sur Killbox.exe
Ne toucher à aucun bouton.

Choisir "Delete on Reboot".

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\System32\nnnom.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "Yes" sur l'invite Pending Operations.

Dans la boîte "Paste Full Path of File to Delete" saisir exactement C:\WINDOWS\System32\ssqol.dll
Cliquer sur le bouton rouge avec croix blanche ("Delete file").
Cliquer sur "Yes" sur l'invite Delete on Reboot.
Cliquer sur "No" sur l'invite Pending Operations.

L'ordinateur redémarre, choisir le mode sans échec (touche F8).


Étape 10: Mode sans échec
Si ce n'est déjà fait, redémarrer en mode sans échec.
Fermer le plus possible de fenêtres.
Pas d'Internet Explorer ouvert.


Étape 11: ewido security suite
Lancer ewido security suite et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).
A la fin du scan, Sauver le rapport (Fichier--->Enregistrer sous...).


Étape 12: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse

Renommer (clic droit sur le nom du dossier) le dossier ci-dessous en ajoutant .non derrière son nom:
C:\Program Files\Media Gateway en Media Gateway.non

Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:
C:\shs1.exe en shs1.exe.non
C:\WINDOWS\exe82.exe en exe82.exe.non
C:\WINDOWS\rofl.exe en rofl.exe.non
C:\WINDOWS\smsc.exe en smsc.exe.non


Étape 13: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 14: Redémarrage
Redémarrer en mode normal, générer un nouveau log HijackThis et l'envoyer en réponse avec le rapport d'ewido et les résultats des différentes étapes.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede bergen » 18 Oct 2005, 21:16

bonsoir,

j'ai passer toutes les étapes jusqu'à la 14ème. Mais j'ai toujours l'impression que mon micro à un problème :
- de lenteur
- et quand je lance internet explorer j'ai un son suspect
- Spy Sweeper me donne Adware trouvé : psguard desktop hijacker
mais ne le supprime pas.
Ci-dessous mes differents logs
Merci

Logfile of HijackThis v1.99.1
Scan saved at 20:31:15, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\oracle\ora92\bin\omtsreco.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Seagate Software\WCS\WebCompServer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Compaq Wireless LAN\Client Manager\CMCOM.EXE
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\WordWeb\wweb32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PestPatrol\ppmemcheck.exe
C:\Program Files\PestPatrol\cookiepatrol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: WordWeb.lnk = C:\Program Files\WordWeb\wweb32.exe
O4 - Global Startup: Compaq Client Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\wweb32.dll/lookup.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .NPSSView: C:\Program Files\Seagate Software\Viewers\ActiveXViewer\\NPssView.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = sip-geneva.ch
O17 - HKLM\Software\..\Telephony: DomainName = sip-geneva.ch
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC909876-6CFB-4848-A713-5AE5D0164D91}: NameServer = 192.168.0.30
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = sip-geneva.ch
O20 - Winlogon Notify: msap - C:\WINDOWS\java\msap.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Insight Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
O23 - Service: Insight Web Agent (cpqWebDmi) - Hewlett-Packard Company - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett-Packard - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: FORTE UDS Manager 5.0.1 - Unknown owner - c:\forte\install\bin\nodemgr.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: UDS Environment Manager 5.0.1 - Unknown owner - c:\forte\install\bin\nodemgr.exe
O23 - Service: UDS Repository Manager 5.0.1 - Unknown owner - c:\forte\install\bin\rpserver.exe
O23 - Service: Seagate Web Component Server (WebCompServer) - Seagate Software, Inc. - C:\Program Files\Seagate Software\WCS\WebCompServer.exe
O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

PATROL
10/18/2005 20:29:03 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt
10/18/2005 20:29:19 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt
10/18/2005 20:29:21 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt
10/18/2005 20:29:40 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt
10/18/2005 20:29:42 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt
10/18/2005 21:58:25 ~ [action:Deleted ] Found spyware cookie bgenti@doubleclick[1].txt


---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 16:28:28, 18.10.2005
+ Somme de contrôle: 96BBD131

+ Résultats du scan:

HKLM\SOFTWARE\PSGuard.com -> Spyware.PSGuard : Erreur durant le nettoyage
HKLM\SOFTWARE\PSGuard.com\PSGuard -> Spyware.PSGuard : Erreur durant le nettoyage
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard -> Spyware.PSGuard : Erreur durant le nettoyage
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License -> Spyware.PSGuard : Nettoyer et sauvegarder
C:\Documents and Settings\bgenti\Cookies\bgenti@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\bgenti\Cookies\bgenti@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\bgenti\Cookies\bgenti@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-98812743-1884470524-1651347442-1006\Dc10.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-98812743-1884470524-1651347442-1006\Dc12.txt -> Spyware.Cookie.Ivwbox : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-98812743-1884470524-1651347442-1006\Dc22.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-98812743-1884470524-1651347442-1006\Dc7.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
C:\RECYCLER\S-1-5-21-98812743-1884470524-1651347442-1006\Dc8.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
C:\WINDOWS\system32\LogFiles\OD0080400.so -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\LogFiles\OD0180020.so -> Dialer.Generic : Nettoyer et sauvegarder


::Fin du rapport
bergen
 
Messages: 4
Inscription: 18 Oct 2005, 06:52

Messagede nickW » 18 Oct 2005, 21:28

Stop!

Je ne comprends plus!


Comment bergen a-t-il pu effectuer les 14 étapes de l'analyse du log de ipomée? :shock:

Expliquez-moi!
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: KennethZef et 13 invités