Sondage :

Publicité




Partenaires




Jmax-Hardware

mxdev.net

feedburner
donate.gif


153 visiteur(s) en ligne
Forums d'entraide informatique - Les forums de PCW
[Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. - Version imprimable

+- Forums d'entraide informatique - Les forums de PCW (http://forum.pcinfo-web.com)
+-- Forum : Forum Informatique (/forumdisplay.php?fid=39)
+--- Forum : Sécurité Informatique (/forumdisplay.php?fid=2)
+--- Discussion : [Résolu] Hum...Win32:Lineage-518 ? Un chieur quand même.. (/showthread.php?tid=1062)

Pages : 1 2 3 4


- Troll - 15-03-2007 18:34 PM

Bon, on finit la vérification par un scan en ligne kaspersky et puis on s'occupe de virer les trucs inutiles dans le log Smile

Kaspersky on line scanner : Image: kaspersky.jpg SOUS INTERNET EXPLORER(cliquer sur l'image).

Acceptez le contrôle activeX.

Si tu as un problème pour installer les aciveX fais ceci :

Outils :arrow: options :arrow: sécurité :arrow: personnaliser le niveau, et là où il y a "télécharger les activeX signés", tu le mets sur activer.

Ensuite quand tu as accepté le activeX et que tu l'as téléchargé, clique sur suivant et ensuite sur paramètres d'analyse puis coche les deux cases d'en bas plus la case base étendue.

Une fois le scan fini, tu enregistre le rapport au format .txt(choisir en dessous du nom du fichier) et tu le colle ici, puis tu fais : outils :arrow: options :arrow: sécurité :arrow: <=> cliquez sur niveau par défaut(sous intnernet explorer).


- Eikichi - 16-03-2007 18:20 PM

Bonsoir, voici le rapport en question Wink

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, March 16, 2007 7:11:28 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/03/2007
Enregistrements dans la base antivirus Kaspersky : 282396
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 48227
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:26:14

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_574.dat L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Local Settings\Historique\History.IE5\MSHist012007031620070317\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Steven\Cookies\index.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

Analyse terminée.

-------------------

Concernant la dernière étape (mise du niveau par défaut), à quoi ça sert exactement?
Une fois que j'ai cliaué sur "sécu", j'ai 4 onglets: "internet", "Intranet local", "sites de confiance" et "sites sensibles".
Je présume qu'il faut l'appliqué pour "internet", seulement, l'onglet "par défaut" n'est pas sélectionnable..j'en conclus donc que c'est bon..



- Troll - 16-03-2007 18:42 PM

Le niveau par défaut, c'est au cas où tu aurais eu un problème avec le &amp;#0097;ctiveX et que tu aurais fait ce qui était noté en fait Smile

Bon, tu n'as pas l'air infecté, il devait juste rester ce petit fichier...

Maintenant, postes moi un nouveau rapport hijackthis hors connexion et tous les programmes fermés Smile

On va s'occuper du rapport, ensuite faire un petit peu de ménage Smile


- Eikichi - 16-03-2007 19:17 PM

Ok.
Bon, voici le log Wink
Logfile of HijackThis v1.99.1
Scan saved at 20:13:48, on 16/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\WINDOWS\System32\svchost.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Global Startup: podXP.lnk = C:\Program Files\podXP\podXP.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Niveau programme, tu constateras que je n'avais pas coupé Avast..d'où ces quelques lignes le concernant.



- Troll - 17-03-2007 09:24 AM

OK. Pour avast! tu as bien fait de le laisser Wink Fermer tous les programmes, ca ne comprend pas l'antivirus, ce sont les pogrammes que tu utilise...(enfin bref tu m'as compris Tongue )
Maintenant :

Déconnectes-toi d'internet.
Ferme tous les programmes.

Lance hijackthis.
Clic sur "do a system scan only"
Coche les cases suivantes :

Citation :O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Documents and Settings\Steven\Local Settings\Temp\Rar$EX02.547\Vista Drive\vsdrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - Startup: Raccourci vers RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab


Clic sur fix checked.


Redémarre ton ordinateur.

Vérifies qu'il n'y a aucun disfonctionnement. S'il y en a signale-les moi Smile


- Eikichi - 17-03-2007 11:14 AM

Est-ce que je suis réellement obligé de fixer les lignes correspondant à CursorXP, RocketDock et Y'zToolbar? Non parce que ce sont des programmes que j'ai volontairement mis en démarrage..CursorXP servant à changer mon curseur et Rocketdock, bah à avoir ma tite barre Mac..


- Troll - 18-03-2007 20:56 PM

Bonsoir,

Oui et non, en fait c'est pour ça que je pose la question : vérifies qu'il n'y ait aucun bug.

Parce-que ces entrées sont parfois légitimes, mais parfois le programmes marche très bien sans !
RocketDoc.exe par exemple, est en double, et je ne t'ai dit d'en fixé qu'une seule.

Donc si ça ne s'éxécute plus, on les remettra Wink
(gâce aux sauvegardes de hjt Wink )


Voilà Wink


- Eikichi - 19-03-2007 12:58 PM

Oki, c'est fait Wink
Mais qu'elle fût ma grande surprise lorsque j'ai fixé le tout..mon curseur avait disparu! Du moins, il était invisible lol On pouvait voir les onglet de ma barre des taches en surbrillance quand il se trouvait dessus..c'était à cause de CursorXP..mais c'est cool, je m'en suis sorti ^^
En attente des prochaines instructions lol



- Troll - 19-03-2007 18:15 PM

Hum...

Après redémarrage tu n'avai plus de curseur ?

(bizarre, moi en enlevant la ligne au démarrage il fonctionnait quand je l'ai testé...)

A part le curseur, aucun autre bug ?

Pour le curseur :

Lance hijackthis -> Open The Misc Tool Section -> Backups -> Coche la ligne 04 contenant cursorxp.exe et clic sur restore.

Plus aucun disfonctionnement ?


- Eikichi - 20-03-2007 11:20 AM

Non mais c'est cool, je l'ai désintaller, retour au bon vieux curseur ^^
Sinon, tout marche impec, R.A.S Wink
Je repasserai un coup d'Avast pour voir si il ne retrouve rien de suspect et je viendrais poster le résultat.