Tom's Guide > Forum > Sécurité - Virus > analyse log hijack this SVP

analyse log hijack this SVP

Forum Sécurité - Virus : analyse log hijack this SVP

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
groumf@IDN   30-07-2005 à 18:01:12

Bonjour,

Une bonne âme experte voudrait-elle bien se pencher sur cette analyse Hijack This ?

Merci d'avance!
Logfile of HijackThis v1.99.1
Scan saved at 17:41:23, on 30/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\SxgTkBar.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\BearShare\BearShare.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\mss\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.syspgrqdpcgyhqviout.com [...] _SrFh.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 01
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\mss\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Olghon   30-07-2005 à 20:58:06
- 0 +

coche ca dans hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.syspgrqdpcgyhqviout.com [...] _SrFh.html
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 01
O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b27571.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab

apres, tu fix checked, et reposte un log

Répondre à Olghon
lorena   30-07-2005 à 23:34:05
- 0 +

mmhh cest une trés bonne analyse que je comprends, jaurais juste une question pour améliorer mes connaissances sur les log , pourquoi? fixer les "04 /... / run " ?

Répondre à lorena
groumf@IDN   31-07-2005 à 12:26:47
- 0 +

Merci beaucoup à tous les 2 !!!

J'ai suivi tes instructions et voici le nouveau log... Qu'en dis tu?

Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 12:25:07, on 31/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\BearShare\BearShare.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\mss\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {64A48D37-4266-D5AC-B4A5-4E3295D08485} - C:\DOCUME~1\maison\APPLIC~1\CREATI~1\ACE THIS.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logo Extra Book Burn] C:\Documents and Settings\All Users\Application Data\trust style logo extra\owns inter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Répondre à groumf@IDN
chercheur_   31-07-2005 à 23:38:13
- 0 +

Bonsoir

Citation :

groumf a écrit :

J'ai suivi tes instructions et voici le nouveau log... Qu'en dis tu?


Que l'infection est toujours là.

1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: (no name) - {64A48D37-4266-D5AC-B4A5-4E3295D08485} - C:\DOCUME~1\maison\APPLIC~1\CREATI~1\ACE THIS.exe
O4 - HKLM\..\Run: [Logo Extra Book Burn] C:\Documents and Settings\All Users\Application Data\trust style logo extra\owns inter.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\maison\Application Data\CREATI~1 --> Je ne peux pas être plus précis.
C:\Documents and Settings\All Users\Application Data\trust style logo extra

6 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Redémarre normalement.

8 Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activ [...] ncipal.htm

Colle son rapport ici avec un nouveau log HijackThis

Répondre à chercheur_
groumf@IDN   02-08-2005 à 19:26:24
- 0 +

Argh !!!!

Merci pour ces conseils, voici l'analyse de Panda puis de HT.

Merci d'avance pour la suite ;-)


Incident Statut Analyse

Adware:adware/webhancer No Désinfecté C:\WINDOWS\webhdll.dll_tobedeleted
Adware:adware/savenow No Désinfecté C:\PROGRAM FILES\VVSN
Spyware:spyware/bargainbuddy No Désinfecté HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\sta5.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\htpjtmej.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\ckhiuskj.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\95431375.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\nwevrunq.exe
Adware:Adware/ClockSync No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\VVSNInst.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\bmbdssxt.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\lsloijzh.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\Inside Program.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\UQQTTPO6\upAYB[1].int
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\Y52BGL2X\upAYB[1].int
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\One peak.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\fvnflgbn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\jump internet ref each.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\optionerrorheart.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\gvcushzq.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\lzqzhtbt.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\amdkhibq.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\btbzcfpi.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\uupvuhdn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\yiqmvtqn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\nsprsves.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\qhvzcbvu.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\hiagdykk.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\mss\Bureau\backups\backup-20050801-200829-156.dll
Adware:Adware/SaveNow No Désinfecté C:\Program Files\BearShare\Installer\saveinstwm.exe





ogfile of HijackThis v1.99.1
Scan saved at 19:19:39, on 02/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\mss\Bureau\HijackThis.exe
C:\Documents and Settings\mss\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Répondre à groumf@IDN
chercheur_   04-08-2005 à 01:37:45
- 0 +

Bonsoir


1 Ouvre le Bloc-note et copie-colle les lignes entre --- ci-dessous (y compris la ligne vide à la fin)
-----------------------------------------------------------------------------------
REGEDIT4

[-HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}]

----------------------------------------------------------------------------------

Enregistre ce fichier sur ton bureau (Nom du fichier : "Fixme.reg " -sans inclure les guillemets- ; Type : Tous les fichiers).

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.


3 Double-clique sur Fixme.reg
Clique sur Oui lorsqu'on te demande confirmation pour Fusionner.
Lorsque tu reçois un message du bon déroulement, supprime le fichier Fixme.reg.

4 Assure toi d'avoir accés à tous les fichiers.

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\webhdll.dll_tobedeleted
C:\PROGRAM FILES\VVSN
C:\Documents and Settings\maison\Local Settings\Temp\sta5.exe
C:\Documents and Settings\maison\Local Settings\Temp\htpjtmej.exe
C:\Documents and Settings\maison\Local Settings\Temp\ckhiuskj.exe
C:\Documents and Settings\maison\Local Settings\Temp\95431375.exe
C:\Documents and Settings\maison\Local Settings\Temp\nwevrunq.exe
C:\Documents and Settings\maison\Local Settings\Temp\VVSNInst.exe
C:\Documents and Settings\maison\Local Settings\Temp\bmbdssxt.exe
C:\Documents and Settings\maison\Local Settings\Temp\lsloijzh.exe
C:\Documents and Settings\maison\Local Settings\Temp\Inside Program.exe
C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\UQQTTPO6
C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\Y52BGL2X
C:\Documents and Settings\maison\Application Data\inter rule loud
C:\Documents and Settings\mss\Bureau\backups\backup-20050801-200829-156.dll
C:\Program Files\BearShare\Installer\saveinstwm.exe

6 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Redémarre normalement et poste un nouveau scan Panda pour vérification.

Répondre à chercheur_
groumf@IDN   06-08-2005 à 19:31:37
- 0 +

Merci pour tes instructions.... Qu'en dis tu ?

Merci d'avance !!

L'analyse de Panda :
Incident Statut Analyse

Adware:adware/webhancer No Désinfecté C:\WINDOWS\webhdll.dll_tobedeleted
Adware:adware/savenow No Désinfecté C:\PROGRAM FILES\VVSN
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\ckhiuskj.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\htpjtmej.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\95431375.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\nwevrunq.exe
Adware:Adware/ClockSync No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\VVSNInst.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\dqjevlnx.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\lsloijzh.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\Inside Program.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\UQQTTPO6\upAYB[1].int
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\Y52BGL2X\upAYB[1].int
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\One peak.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\fvnflgbn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\jump internet ref each.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\optionerrorheart.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\gvcushzq.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\lzqzhtbt.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\amdkhibq.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\btbzcfpi.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\uupvuhdn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\yiqmvtqn.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\nsprsves.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\qhvzcbvu.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Application Data\inter rule loud\hiagdykk.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\mss\Bureau\backups\backup-20050801-200829-156.dll
Dialer:Dialer.QT No Désinfecté C:\Program Files\FreeDial\FreeDial.exe
Adware:Adware/SaveNow No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP447\A0120507.exe
Adware:Adware/WeatherCast No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP453\A0122711.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125927.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125928.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125929.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125930.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125942.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125943.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125944.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125945.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP456\A0125946.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125953.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125954.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125955.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125956.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125998.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0125999.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0126000.exe
Adware:Adware/WeatherCast No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP457\A0126010.EXE
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP462\A0127177.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP462\A0127178.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP462\A0127179.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP462\A0127180.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP462\A0127181.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129181.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129182.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129183.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129184.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129185.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP465\A0129221.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130192.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130193.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130194.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130195.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130196.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130197.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130198.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130199.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130200.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130236.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130253.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130254.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130255.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130256.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130257.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130258.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP466\A0130259.exe
Adware:Adware/SaveNow No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP467\A0130308.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP459\A0126071.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP459\A0126072.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP459\A0126073.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP459\A0126074.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP460\A0127100.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP460\A0127101.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP460\A0127102.exe
Adware:Adware/Lop No Désinfecté C:\System Volume Information\_restore{9B0B8D1B-1828-4113-91DB-EA8BA6786F99}\RP460\A0127103.exe
Et celle de HJ :

Logfile of HijackThis v1.99.1
Scan saved at 19:29:57, on 05/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\BearShare\BearShare.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMAIN.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\mss\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe



Répondre à groumf@IDN
chercheur_   07-08-2005 à 00:06:08
- 0 +

Bonsoir

1 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

2 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

VVSN
FreeDial

3 Assure toi d'avoir accés à tous les fichiers.

4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\PROGRAM FILES\VVSN
C:\Program Files\FreeDial
C:\WINDOWS\webhdll.dll_tobedeleted
C:\Documents and Settings\maison\Application Data\inter rule loud
C:\Documents and Settings\mss\Bureau\backups\backup-20050801-200829-156.dll

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

5 Lance et exécute CCleaner.

6 Redémarre normalement.

7 Il faut désactiver la restauration.
Cela supprimera tous ceux qui sont dans C:\System Volume Information\_restore
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

Puis redémarrer l'ordinateur et faire l'opération inverse en décochant la case Désactiver la restauration systéme.

Et nouveau scan Panda.

Répondre à chercheur_
groumf@IDN   08-08-2005 à 20:12:15
- 0 +

Merci bcp !

Avant de procéder, j'ai un petit doute : C:\Program Files\FreeDial n'est-il pas le programme qui me permet de me connecter via Free ? (Pardon si ma question est idiote)

Répondre à groumf@IDN
chercheur_   09-08-2005 à 02:18:04
- 0 +

Bonsoir

On va vérifier ce fichier
Vas sur ce site
http://virusscan.jotti.org/
Clique sur Parcourir pour trouver ce fichier
C:\Program Files\FreeDial\FreeDial.exe
puis sur Submit pour l'analyser.
Poste le rapport ici.

PS. J'ai revérifier le reste, pas de problème ;-)
Tu peux faire la manip.

Répondre à chercheur_
groumf@IDN   12-08-2005 à 08:08:18
- 0 +


Bpjour,

Voici les analyses :


Analyse de FreeDial : (que j'ai épargné pour l'instant)
FreeDial.exe_ Status:
POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
MD5 f91d0a2c96889ad5c3dc21d88b7470fc Packers detected:
-
Scanner results
AntiVir
Found DIAL/Generic dialer
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing

analyse panda


Incident Statut Analyse

Adware:adware/savenow No Désinfecté Registre Windows
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\ckhiuskj.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\maison\Local Settings\Temp\htpjtmej.exe



Répondre à groumf@IDN
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > analyse log hijack this SVP
Aller à :

Il y a 1195 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,338 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens