Analyse d'un log Hijackthis

Dougy Messages postés 452 Statut Contributeur -  
S!Ri Messages postés 932 Statut Contributeur sécurité -
Bonjour, Bonjour,

J'ai un gros problème. Je suis infecté par un virus que je n'arrive pas a supprimer. Après quelques conseils, voici mon log :

Logfile of HijackThis v1.99.1
Scan saved at 12:11:23, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\Nico\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

Merci de vos réponses.
--
Le soleil se levera demain matin de la meme maniere qu'il  
s'est leve hier matin : A L'EST !

13 réponses

  1. Dougy Messages postés 452 Statut Contributeur 35
     
    Merci Régis pour ta réponse, Je viens de lancer le scan RAV.

    Je reviens lorsqu'il sera terminé.
    0
  2. Dougy Messages postés 452 Statut Contributeur 35
     
    Le scan RAV vient de finir :

    Scan started at 13/07/2005 12:30:54

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 12073
    Directories: 821
    Archives: 389
    Size(Kb): 1575756
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 21

    Par contre, il me semble court. Est ce normal ? J'espere que cela te sera utile.

    Merci de tes réponses.

    0
  3. Utilisateur anonyme
     
    salut,
    tu as bien cliker sur scan my pc?
    sinon ou est ce "virus"?qui te le detecte

    a+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Dougy Messages postés 452 Statut Contributeur 35
     
    Je suis de retour,

    Une deconnexion reseau par précaution.

    Effectivement, j'avaos bien cliquer sur Scan my PC. Je suis en trai de le recommencer. Je t'envoie le log d'ici qu'il soit finit.

    En ce qui concerne le virus, c'est AVG qui me le detecte. Il s'appelle Samsungs.exe Le virus identifié est Worm/Spybot.26.Z

    Déja deux reformatages et il revient encore.

    J'ai déja fait quelques petites recherches et manipulation mais impossible encore pour moi de l'éradiquer.

    Merci de ton aide
    0
  6. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    Salut

    Tu as 2 antivirus installés en même temps.
    Désinstalle un des deux. (garde AVG puisqu'il détecte le virus)
    et scan ton ordinateur en mode sans echec (f8 au demarrage de l'ordinateur)

    a+
    0
  7. Dougy Messages postés 452 Statut Contributeur 35
     
    Bonjour,

    Pour le deuxieme scan de RAV :

    Scan started at 13/07/2005 14:05:32

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 11032
    Directories: 740
    Archives: 352
    Size(Kb): 1354117
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 21

    Le log ne me parait pas long du tout. Je n'ai que ca.
    http://cjoint.com/?hnqiSNSOxe
    Meme en cliquant sur My Report, je n'ai que ces données.

    Je clique pourtant bien sur Scan My PC

    En effet, j'ai deux Antivirus. Je vais garder AVG

    Merci de votre aide
    0
  8. Dougy Messages postés 452 Statut Contributeur 35
     
    up :$
    0
  9. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    Je voulais dire scan ton ordinateur avec AVG en mode sans echec (F8).

    reposte un log HijackThis ensuite pour vérification.

    a+
    0
  10. Dougy Messages postés 452 Statut Contributeur 35
     
    Merci,

    Je desinstalle Antivir, je reboot en mode sans echec, je scan avec AVG, je fais un log hijackthis et je reviens :d

    Merci de ton aide
    0
  11. Dougy Messages postés 452 Statut Contributeur 35
     
    Voila, desinstallation faite, redémarage sans echec fait, scan fait :

    Il me detecte donc :
    Samsungs.exe (Spybot\Worm.26.Z)
    TFTP1244 (Spybot\Worm.26.Z)
    TFTP1724 (Spybot\Worm.26.Z)
    TFTP1972 (Spybot\Worm.26.Z)
    TFTP 2312 (Spybot\Worm.26.Z)
    TFTP272 (Spybot\Worm.26.Z)

    Avant, il ne me detectait pas les TFTP mais que le Samsungs.exe. Je connais ces fichiers (TFTP) comme etant les virus.

    Voici maintenant mon log Hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 16:22:43, on 13/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\cisvc.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Hijackthis\HijackThis.exe
    C:\WINDOWS\system32\cmd.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121237319790
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D2BCD29E-506F-4A2A-A943-C1ACCF1EC37E}: NameServer = 192.168.1.4
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    Merci pour toutes vos aides.
    0
  12. Dougy Messages postés 452 Statut Contributeur 35
     
    Up
    0
  13. S!Ri Messages postés 932 Statut Contributeur sécurité 10
     
    re'

    pour moi ton log est clean.
    Les fichiers infectés qui sont sur ton disque dur sont certainement dans un répertoire temporaire.
    essaie de les effacer en mode sans echec

    ou avec Killbox:
    http://www.downloads.subratam.org/KillBox.zip
    avec Delete on Reboot

    a+
    0