- le SITE - contribuer - le FORUM - liste évènements - livres sécurité info - @abcdelasecurite (twitter) - groupe Facebook - admin
Le portail dédié à la sécurité informatique et la protection des données, systèmes, réseaux, vie privée et usagers d'Internet.
Forum prévention, configuration, astuces, matériel, logiciel, informations ... hors warez crack serial
Vous n'êtes pas connecté.
Pages: 1
- Accueil
- » Aide à l'analyse de rapports de log
- » Messages intempestifs d'avast ci joint rapport
#1 11-11-2006 02:45:59
- joseb
- membre
- Date d'inscription: 11-11-2006
- Messages: 4
Messages intempestifs d'avast ci joint rapport
Bonjour à tous depuis ce soir, avast m'envoie une quinzaine de messages à la suite
l y a trop de mails identiques envoyés dans un faible intervalle de temps
Expéditeur : "Clyde Islam" <murofelicit@fernbridgetractor.com>
Destinataire : ewingi@bf-law.com
Sujet : Re: good 600Il y a trop de mails identiques envoyés dans un faible intervalle de temp
Expéditeur : "Scout Lomax" <briauhinne@gabepalacio.com>
Destinataire : ewingi@bf-law.com; ewingi@bhfunds.com
Sujet : Re: good 600Il y a trop de mails identiques envoyés dans un faible intervalle de temps
Expéditeur : "Orla Fitzsimmons" <perrel@amsite.com>
Destinataire : ewingi@bf-law.com; ewingi@bhfunds.com; raj_aver@yahoo.com
Sujet : Re: good 600
J'ai vu que je ne suis pas le seul à avoir eu ce pb, mais je n'arrive pas à trouver quelle est la solution...de plus , depuis que j'ai ces alertes, j'ai ce type de programme dans local settings qui tentent d'accéder à inetrenet en tant que serveur ( message de zone alarm)... 45exinjs.n , en fait ces noms de programme sont aléatoires apparemment et changent à chaque démarrage du systeme ... on le retrouve d'ailleurs dans le rapport ci dessous
ci joint mon rapport hijackthis, si vous pouviez m'aider, merci...pour l'instant j'ai désactivé l'analyse du courrier sortant.
merci d'avance
Logfile of HijackThis v1.99.1
Scan saved at 02:16:44, on 11/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\Program Files\Medion Info Display\MdionLCM.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\eMule\emule.exe
C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\45exinjs.n.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\0.Mes Documents\Web\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Program Files\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab46479.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab51411.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Hors ligne
#2 11-11-2006 02:53:20
- joseb
- membre
- Date d'inscription: 11-11-2006
- Messages: 4
Re: Messages intempestifs d'avast ci joint rapport
je viens de voir qu'en plus dans le fichier temp de mes local settings , en plus deu fichier suspect j'ai des docs texte avec des noms de domaine ! et un autre avec des noms qui doivent servir à "génerer" des adresses emails !
Hors ligne
#3 11-11-2006 13:56:18
- joseb
- membre
- Date d'inscription: 11-11-2006
- Messages: 4
Re: Messages intempestifs d'avast ci joint rapport
en faisant un scan en ligne voici les virus et trojan que je trouve
help please, comment m'en débarasser ???????
Antivirus Version Update Result
AntiVir 7.2.0.39 11.10.2006 TR/Popuper.L.1
BitDefender 7.2 11.11.2006 Trojan.Popuper.L
ClamAV devel-20060426 11.11.2006 Trojan.IRCBot-775
DrWeb 4.33 11.11.2006 Trojan.Popuper
eTrust-Vet 30.3.3186 11.10.2006 Win32/Boxed!generic
Fortinet 2.82.0.0 11.11.2006 W32/Horst.GM!tr
McAfee 4893 11.10.2006 New Malware.ao
Panda 9.0.0.4 11.10.2006 Suspicious file
VirusBuster 4.3.15:9 11.10.2006 Worm.Medbot.Gen.6
Hors ligne
#4 11-11-2006 14:41:14
Re: Messages intempestifs d'avast ci joint rapport
2 soft à installer
1) Ccleaner ou CleanUp! (au choix)
2) Ewido (www.ewido.net) version évaluation de 1 mois.
Mettre à jour Ewido puis le refermer. Tu t'en serviras plus tard.
Mettre à jour Spybot search&Destroy.
Aller dans ajout suppression de programmes. Désinstaller tes toolbar sauf celle de ton choix.
Désactiver la restauration automatique (Propriétés poste de travail) Ne réactiver que lorsque tout sera propre et plus de problèmes constatés.
Lancer Hijackthis, "Do a scan only" rechercher dans Hijackthis la ligne:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Fermer toute fenêtre ouverte de IExplorer.
Clic sur le bouton FixChecked. Redémarrer en mode sans échec.
Ccleaner ou CleanUP et nettoyer les fichiers temporaires. Refaire la manip 2 ou 3 fois pour être certain de ne plus rien trouver.
Lancer Ewido et laisser supprimer les éléments douteux.
Aller dans C:\Windows\system et mettre en quarantaine le fichier smss.exe qui s'y trouve peut être encore. Attention !! smss.exe est un fichier légitime Windows, mais il doit se trouver dans le dossier system32. Celui qui est dans le dossier system est un faux et c'est un trojan. Au besoin mettre en quarantaine avec Avast!
lancer un scan avec Spybot avec correction problèmes.
Lancer Avast et scan complet machine.
Théoriquement ton problème devrait être solutionné au redémarrage normal.
Si c'est le cas, réactiver la restauration, et faire un point de restauration manuel. Si ce n'est pas le cas, prière de donner la suite ici.
Hors ligne
#5 11-11-2006 18:16:48
- joseb
- membre
- Date d'inscription: 11-11-2006
- Messages: 4
Re: Messages intempestifs d'avast ci joint rapport
ok, merci de ta réponse, j'ai fait tt ce que tu as dit, la seule chose c que je n'ai pas réussi à mettre smss.exe en quarantaine en mode sans échec ...avast ne répondait pas dans ce mode, je l'ai donc fait après redémarrage normal...
pourquoi ne pas supprimer ce fichier directement au fait ?
sinon le pb semble résolu, les virus qui m'apparaissaient avec le scan en ligne de bidefender n'appraissent plus pour l'instant....à vérifier, je viens de relancer un scan complet avec bitdefender puis je refais pareil avec avast (mais avast ne me les avait pas détecté auparavant...)
en tt cas merci beaucoup de ton aide judicieuse
Hors ligne
#6 11-11-2006 21:23:26
Re: Messages intempestifs d'avast ci joint rapport
Dans le cas de fichiers dits doublons, la prudence est de mise. Il vaut mieux utiliser la quarantaine, avant la suppression directe. Cela permettra de restaurer le fichier en cas d'erreur.
Attendre 1 jour ou 2 avant de réactiver la restauration automatique. Continuer les nettoyages de fichiers temporaires durant ce laps de temps.
Hors ligne
Pages: 1
- Accueil
- » Aide à l'analyse de rapports de log
- » Messages intempestifs d'avast ci joint rapport