[Résolu] Analyse de log

Analyse de log [Résolu] - Sécurité - Windows & Software

Marsh Posté le 07-08-2005 à 02:03:09    

Une fois de plus, j'ai des soucis avec mon PC, si vous pouviez m'aider, merci!
 
Logfile of HijackThis v1.99.1
Scan saved at 02:02:04, on 07/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MMTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\WINDOWS\system32\svcnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2508871531
O20 - Winlogon Notify: DPWLN   - C:\WINDOWS\System32\DPWLEvHd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe


Message édité par jbvador le 16-08-2005 à 01:21:46
Reply

Marsh Posté le 07-08-2005 à 02:03:09   

Reply

Marsh Posté le 07-08-2005 à 02:24:55    

Bonjour
 
 * Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
 
 * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1  
Postes le rapport.
 
 * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.  
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
 
 * Relance le et choisis cette fois l’option 2 et réponds oui à tout.
 
 * Redémarre normalement et communique le rapport avec un nouveau rapport Hijackthis.

Reply

Marsh Posté le 07-08-2005 à 09:00:21    

Merci! Ca roule, à part la page de démarrage de IE
 
 
Rapport Smitfraud (avant fix):
 
SmitFraudFix v1.5
 
Rapport fait à  8:49:58,10 le 07/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
C:\WINDOWS\uninstIU.exe PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\svcnt.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\JB\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
C:\Program Files\PSGuard\ PRESENT!
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
Rapport Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 08:57:54, on 07/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MMTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2508871531
O20 - Winlogon Notify: DPWLN   - C:\WINDOWS\System32\DPWLEvHd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe


Message édité par jbvador le 07-08-2005 à 09:01:47
Reply

Marsh Posté le 07-08-2005 à 10:07:54    

Bonjour
 
 * Il faudrait poster le rapport 2 de SmitfraudFix afin de voir ce qu'il a éliminé.
 
 * Relance un scan HijackThis et coche la ligne ci-dessous :
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
 * Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activ [...] ncipal.htm
 
Colle son rapport ici avec un nouveau log HijackThis.
 

Reply

Marsh Posté le 07-08-2005 à 13:21:14    

Rapport 2 précédent:
 
SmitFraudFix v1.5
 
Rapport fait à  8:54:32,20 le 07/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\oleext.dll supprimé
C:\WINDOWS\system32\svcnt.exe supprimé
C:\WINDOWS\system32\wppp.html supprimé
 
C:\Program Files\PSGuard\ supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
Log Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 13:19:05, on 07/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MMTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Program Files\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2508871531
O20 - Winlogon Notify: DPWLN   - C:\WINDOWS\System32\DPWLEvHd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
 

Reply

Marsh Posté le 07-08-2005 à 17:54:24    

Bonjour
 
SmitfraudFix a bien rempli son rôle, comme d'habitude.
 
Le rapport HijackThis est propre.
 
Il manque ceci pour finir le nettoyage.
 

Citation :

* Fais une analyse antivirus en ligne sur Panda  
http://www.pandasoftware.com/activ [...] ncipal.htm  
 
Colle son rapport ici


Message édité par chercheurbis le 07-08-2005 à 17:55:21
Reply

Marsh Posté le 07-08-2005 à 23:52:02    

Rapport pandasoft:
 
 
Incident                      Statut                        Analyse                                                                                                                                                                                                                                                          
 
Adware:Adware/Gator           No Désinfecté                 C:\ACE Mega CoDecS Pack\gain.exe                                                                                                                                                                                                                                
Hacktool:Hacktool/Processor   No Désinfecté                 C:\Documents and Settings\JB\Bureau\SmitfraudFix\Process.exe                                                                                                                                                                                                    
Hacktool:Hacktool/Processor   No Désinfecté                 C:\Documents and Settings\JB\Bureau\SmitfraudFix.zip[Process.exe]                                                                                                                                                                                                
Spyware:Spyware/Smitfraud     No Désinfecté                 C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\AT1UJQHS\html[1].chm[html.exe]                                                                                                                                                  
Spyware:Spyware/Smitfraud     No Désinfecté                 C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\AT1UJQHS\html[1].exe                                                                                                                                                            
Spyware:Spyware/Smitfraud     No Désinfecté                 C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\AT1UJQHS\html[2].chm[html.exe]                                                                                                                                                  
Virus:VBS/Psyme.C             Désinfecté                    C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\W3XRIUNL\EXPLOIT[1].CHM                                                                                                                                                        
Virus:Trj/Downloader.CVK      Désinfecté                    C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\W3XRIUNL\index[1].chm                                                                                                                                                          
Adware:Adware/Gator           No Désinfecté                 C:\Program Files\Fichiers communs\GMT\EGIEProcess.dll                                                                                                                                                                                                            
Adware:Adware/Gator           No Désinfecté                 C:\Program Files\Fichiers communs\GMT\GUninstaller.exe                                                                                                                                                                                                          
Adware:adware/gator           No Désinfecté                 C:\WINDOWS\GatorPdpSetup.log                                                                                                                                                                                                                                    
Virus:W32/Mimail.R.worm       Désinfecté                    C:\WINDOWS\system32\Netmon.exe                                                                                                                                                                                                                                  
Hacktool:Hacktool/Processor   No Désinfecté                 C:\WINDOWS\system32\Process.exe                                                                                                                                                                                                                                  
Adware:Adware/E-eliminator    No Désinfecté                 C:\WINDOWS\system32\shdocsv.dll                                                                                                                                                                                                                                  
 

Reply

Marsh Posté le 08-08-2005 à 00:10:52    

Bonsoir
 
 
1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
 
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
 
3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
 
4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
 
C:\Documents and Settings\JB\Bureau\SmitfraudFix
C:\Documents and Settings\JB\Local Settings\Temporary Internet Files\Content.IE5\AT1UJQHS
C:\Program Files\Fichiers communs\GMT
C:\WINDOWS\GatorPdpSetup.log
C:\WINDOWS\system32\Process.exe  
C:\WINDOWS\system32\shdocsv.dll  
C:\ACE Mega CoDecS Pack\gain.exe
 
7 Lance et exécute CCleaner.
 
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
8 Redémarre normalement et poste un nouveau scan Panda.

Reply

Marsh Posté le 08-08-2005 à 11:59:46    

Tout est OK, le nouveau scan Panda n'a rien détecté de suspect.
 
Merci pour tout! :hello:

Reply

Marsh Posté le 15-08-2005 à 01:35:16    

Oups, c'est encore moi, j'ai un dernier petit soucis avec IE.
 
Mon log:
 
Logfile of HijackThis v1.99.1
Scan saved at 01:33:30, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MMTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Program Files\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2508871531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O20 - Winlogon Notify: DPWLN   - C:\WINDOWS\System32\DPWLEvHd.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\system32\vvv.exe (file missing)
 

Reply

Marsh Posté le 15-08-2005 à 01:35:16   

Reply

Marsh Posté le 15-08-2005 à 11:22:38    

Bonjour
J'ai l'impression qu'il est revenu.
 
1 Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
 
2 Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1  
Postes le rapport.
 
3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
 
4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
 
Dans la liste des services, cherche et sélectionne  
"Net Functions Monitoring" / double clique sur la ligne  
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\system32\vvv.exe" / dans Type de démarrage,  
sélectionne Désactiver / valide la modification.
 
5 Relance un scan HijackThis et coche les lignes ci-dessous :
 
O4 - HKLM\..\Run: [Start Page] C:\WINDOWS\system32\svcnt32.exe home  
O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\system32\vvv.exe (file missing)  
 
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
 
6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
 
7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
 
C:\WINDOWS\system32\vvv.exe
C:\WINDOWS\system32\svcnt32.exe
 
8 Lance et exécute CCleaner.
 
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
9 Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
 
10 Redémarre normalement
 
Poste un nouveau log HijackThis avec le deuxième rapport de SmitfraudFix

Reply

Marsh Posté le 15-08-2005 à 13:17:32    

SmitFraudFix v1.5
 
Rapport fait à 13:16:47,40 le 15/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\JB\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
2ème rapport :
 
SmitFraudFix v1.5
 
Rapport fait à 13:25:19,53 le 15/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
Nouveau rapport Hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 18:31:08, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\MMTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\Program Files\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2508871531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
 


Message édité par jbvador le 15-08-2005 à 18:34:10
Reply

Marsh Posté le 15-08-2005 à 18:34:17    

Nouveau rapport pandascan:
 
 
Incident                      Statut                        Analyse                                                                                                                                                                                                                                                          
 
Adware:Adware/PsGuard         No Désinfecté                 C:\WINDOWS\q5948312_disk.dll                                                                                                                                                                                                                                    
 
 
Et je n'arrive pas à supprimer ce fichier.

Reply

Marsh Posté le 15-08-2005 à 19:43:41    

Bonsoir
 
Supprimes la version que tu as de SmitFraudFix, et retélécharges le.
C'est un outil en constante évolution, on en est actuellement à la version 1.6.
 
Et refais la manip.
 
Avec un nouveau scan Panda.


Message édité par chercheurbis le 15-08-2005 à 19:44:13
Reply

Marsh Posté le 15-08-2005 à 20:48:41    

SmitFraudFix v1.6
 
Rapport fait à 20:29:36,28 le 15/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\JB\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
------------------------------------------------------------------------
 
SmitFraudFix v1.6
 
Rapport fait à 20:35:09,25 le 15/08/2005
Executé à partir de C:\Documents and Settings\JB\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
 
 
---------------------------------------------------------------------------
 
Scan Panda:
 
 
Incident                      Statut                        Analyse                                                                                                                                                                                                                                                          
 
Hacktool:Hacktool/Processor   No Désinfecté                 C:\Documents and Settings\JB\Bureau\SmitfraudFix\Process.exe                                                                                                                                                                                                    
Hacktool:Hacktool/Processor   No Désinfecté                 C:\Documents and Settings\JB\Bureau\SmitfraudFix.zip[Process.exe]                                                                                                                                                                                                
Adware:Adware/PsGuard         No Désinfecté                 C:\WINDOWS\q5948312_disk.dll                                                                                                                                                                                                                                    
Hacktool:Hacktool/Processor   No Désinfecté                 C:\WINDOWS\system32\Process.exe                                                                                                                                                                                                                                  

Reply

Marsh Posté le 15-08-2005 à 22:33:01    

Re
 
Rien avec SmitfraudFix.
 
Télécharge Pocket KillBox  
http://www.bleepingcomputer.com/fi [...] illBox.zip
Ensuite, tu le dézippes sur ton bureau.  
Ouvre Pocket Killbox  
colle dans la petite boite, le chemin complet du fichier suivant:  
 
C:\WINDOWS\q5948312_disk.dll  
 
et clique sur Delete on Reboot, puis clique sur le cercle rouge avec la croix, tu auras le message suivant:"File with be deleted on next reboot, Process and Reboot now?" ,tu cliques sur "yes" .  
Si tu as un message d'erreur, redémarre l'ordinateur.  
 
Et nouveau scan Panda.

Reply

Marsh Posté le 15-08-2005 à 23:46:35    


Incident                      Statut                        Analyse                                                                                                                                                                                                                                                          
 
Hacktool:Hacktool/Processor   No Désinfecté                 C:\WINDOWS\system32\Process.exe      

Reply

Marsh Posté le 16-08-2005 à 00:00:51    

Re
 
L'ordinateur est propre, car le processus qui reste est de SmitfraudFix.
 
Supprimes les traces.
C:\Documents and Settings\JB\Bureau\SmitfraudFix
C:\Documents and Settings\JB\Bureau\SmitfraudFix.zip
C:\WINDOWS\system32\Process.exe
 
Je te conseilles de passer au SP2 pour protèger les failles de sécurité.
 
As tu un parefeu ?

Reply

Marsh Posté le 16-08-2005 à 00:26:20    

Mon parefeu est celui d'XP.
 
Le PC semble propre, mais j'ai toujours un desktop bizarre (blanc qui clignote): quand je fais un clic droit dessus, je n'ai pas accès aux propriétés d'affichage, etc..., mais à un menu déroulant du type de celui que l'on obtient par la même manip sur les pages web.

Reply

Marsh Posté le 16-08-2005 à 01:12:51    

OK, c'est bon, pour ceux que ça intéresse, j'ai trouvé la réponse à mon dernier problème ici : http://www.infos-du-net.com/forum/ [...] e-page-web
 
 
Encore merci pour tout ;)

Reply

Marsh Posté le 17-08-2005 à 13:29:28    

PSguard.
 
Smitfraud est trés efficace (enfin je trouve!)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed