LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES
119 utilisateurs connectés
Forum de Micro Hebdo / Questions techniques diverses / Sécurité/ Tuto Pratique HijackThis
page précédente  1 - 2 - 3 - 4 - 5 - 6 - 7
ou aller à la page
 page suivante

Tuto Pratique HijackThis

acrobaze le 30 mars 2005 à 15h44
Beaucoup demandent des "tutos" HijackThis. Je propose aux personnes intéressées, s'il y en a, de s'entraîner sur des cas concrets.

Le principe: je poste un log, et ceux qui le veulent postent la solution qu'ils y apporteraient. Au bout de trois ou quatre réponses, je donne la soluton et un minimum d'explications.

Log 1 et 2 : cas des lignes R du type :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345
Popups indésirables, favoris indésirables, redirections.

Log 3 : Lop.com

Log 4 : Popups. Elite (1)

Log 5 : Autre cas de popups. PurityScan

Log 6 : NewNet et les O10

Log 7 : Divers malwares.

Log 8 : O10 autres que NewNet, O15 et res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

Log 9 : Pas de lancement d'HijackThis. Comment faire ? Utilisation de "StartDreck".

Log 10 : Vx2 (1) Présence de O20 avec dll longue et aléatoire.

Log 11 : Vx2 (2) Présence de O1 du type : O1 - Hosts: 69.20.16.183 auto.search.msn.com

Log 12 : Popups divers.

Log 13 : Aurora. page 5

Log 14 : WinFixer...sans Winfixer : trojan Vundo! page 7

Log 15 : Wintools page 7
-->Message édité par acrobaze le 16/10/2005 00:06:25<--
-------
Pour le plaisir du texte.

Safety mod>>>HERE<<<
Fier parrain de Bibine5 !
répondre
acrobaze le 30 mars 2005 à 15h44
Premier log :



i really had hoped not to have to come back here, not to say you guys dont do an excellent job!!!



heres my hijackthis log...



Logfile of HijackThis v1.99.1

Scan saved at 3:26:34 AM, on 3/30/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\gearsec.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Common Files\Dell\EUSW\Support.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AIM\aim.exe

C:\Program Files\Dell\Support\Alert\bin\NotifyAlert.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\mfcec.exe

C:\WINDOWS\syshv32.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Matt Lippincott\Local Settings\Temp\Temporary Directory 12 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0F1D7B59-74D4-8EF2-0A9A-D8796491F3F9} - C:\WINDOWS\system32\sdkjn32.dll

O2 - BHO: (no name) - {378C4C2A-DC47-97E7-A351-AD132AB38EAF} - (no file)

O2 - BHO: (no name) - {4EE4E44A-98ED-3E54-CC90-68B00AD5E052} - (no file)

O2 - BHO: (no name) - {5E6249C5-60C3-942A-3167-34D3B0BD6890} - (no file)

O2 - BHO: (no name) - {CE0E873E-9721-D81F-06ED-C87CD65A7F05} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MCAgentExe] C:\Program Files\McAfee.com\Agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

O4 - HKLM\..\Run: [DwlClient] C:\Program Files\Common Files\Dell\EUSW\Support.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [syshv32.exe] C:\WINDOWS\syshv32.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKCU\..\Run: [AIM] C:\Program Files\AIM\aim.exe -cnetwait.odl

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: America Online 8.0 Tray Icon.lnk = C:\Program Files\America Online 8.0\aoltray.exe

O4 - Global Startup: AOL Companion.lnk = C:\Program Files\AOL Companion\companion.exe

O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409

O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1108007976660

O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcec.exe

O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Mcafee.com Corporation - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

répondre
jean-chretien1 le 30 mars 2005 à 16h24
salut, très sympa ton initiative

alors je veux bien essayer :)



1/ installer hijack correctement (pas dans un répertoire temp)

2/ faire le ménage, vider les dossiers temporaires, supprimer fichiers inutiles, etc. (scan en ligne)

3/télécharger adaware, spybot



terminer ce processus mfcec.exe

relancer hijack et cocher les lignes dessous



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {378C4C2A-DC47-97E7-A351-AD132AB38EAF} - (no file)

O2 - BHO: (no name) - {4EE4E44A-98ED-3E54-CC90-68B00AD5E052} - (no file)

O2 - BHO: (no name) - {5E6249C5-60C3-942A-3167-34D3B0BD6890} - (no file)

O2 - BHO: (no name) - {CE0E873E-9721-D81F-06ED-C87CD65A7F05} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O9 - Extra button: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcec.exe



suppprimer ce fichier (eventuellement mode sans echec) C:\WINDOWS\mfcec.exe



puis reposter un log pour vérification



alors???
répondre
acrobaze le 30 mars 2005 à 16h38


Alors, positif:



- ton 1/, 2/ et 3/. Mais AdAware et SpyBot n'en viendront pas à bout.



- la O9 : Extra button: Microsoft AntiSpyware helper

est effectivement un malware qui a emprunté le nom.

Fixer les 2 lignes.



- le service O23 est effectivement impliqué.



Négatif:



- Il y a un autre fichier dans le log qui redéclenchera l'infection. Au prochain log, il y aura encore ces lignes : sp.html#12345



- il y a un outil à utiliser pour supprimer tout ce qu'on ne voit pas avec HJT.

répondre
jean-chretien1 le 30 mars 2005 à 16h47
ok

juste j'ai édité le message pour rajouter la 2ème ligne O9 (no file aussi) !

l'outil, je pense que c'est

SpHjfix, écrit par Seeker sur un forum Allemand, traite spécifiquement les malwares qui se dénoncent par des pages de démarrage et de recherche (Rx) comportant about:blank - .../sp.html (obfuscated). SpHjfix élimine les lignes Rx et O2 correspondantes. Il est à lancer avant HijackThis.

?



sinon l'autre fichier, je dirais

syshv32.exe (supprimer en mode sans échec)



je suis allé trop vite!!



EDIT> et donc fixer O4 - HKLM\..\Run: [syshv32.exe] C:\WINDOWS\syshv32.exe
répondre
acrobaze le 30 mars 2005 à 16h58
Oui, c'est bien l'autre fichier *.exe.



Il y a un outil plus efficace:

http://www.majorgeeks.com/download4289.html

parce que mis à jour régulièrement.



A propos de O2, il y en a une qui fait partie de l'infection.
répondre
jean-chretien1 le 30 mars 2005 à 17h09
A propos de O2, il y en a une qui fait partie de l'infection.



il doit pas y avoir 36 possibilités -> sdkjn32.dll ??

O2 - BHO: (no name) - {0F1D7B59-74D4-8EF2-0A9A-D8796491F3F9} - C:\WINDOWS\system32\sdkjn32.dll à fixer



c'est marrant parce qu'en tapant le nom de cette dll, je suis tombé la dessus, lol

http://www.blizzforums.com/showthread.php?t=49699 (j'espère que ça m'arrivera jamais un truc pareil!!)



bon ben sinon j'ai bien raté mon coup, arf!!



au fait, comment t'es tu formé à l'analyse hijack ?
répondre
acrobaze le 30 mars 2005 à 17h14
Ha oui...une collection de O2... :ouch:



Oui, c'est celle-ci :

O2 - BHO: (no name) - {0F1D7B59-74D4-8EF2-0A9A-D8796491F3F9} - C:\WINDOWS\system32\sdkjn32.dll



répondre
Labbaipierre le 30 mars 2005 à 17h20
[:drapo:1] ! :p
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
répondre
jean-chretien1 le 31 mars 2005 à 04h09
bon en tout cas merci à toi acrobaze de proposer une initiaive si bénéfique pour le forum !! sincèrement !

puis que tu le veuilles ou non dire ou tu a appris a te former, ça peut etre utile moi je suis parti de la http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663 et j'espere bien ne pas en rester ou j'en suis au conttaire, le genre de science qu'il est bon de dissiper ! non ? ceci dit je suis loin d'etre un caïd lol

voila si au bout du compte y'a moyen de savoir d'ou vous etes partis tous, toi et Labbaipierre par exemple je trouve que c'est sympa*

maintenant c'est comme vous le voudrez

alors à bientot

JC, tendrement
répondre
fredodu le 31 mars 2005 à 06h35
[:atchoum:1] bonne idée !! donc , quand z auais plus de temps !! avec vous en prof ! cela pourra nous éviter de faire des bétisses ! :D
-------
fred[:christho:1]

répondre
fredodu le 31 mars 2005 à 14h53
bon , voila , je te met si tu veut ! un log , moi je trouve rien de méchant dedans !

Logfile of HijackThis v1.99.1

Scan saved at 14:39:35, on 31/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

C:\PROGRA~1\EASYPH~1\Apache\apache.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\PROGRA~1\EASYPH~1\Apache\apache.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\fred\LOCALS~1\Temp\Rar$EX00.421\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O15 - Trusted Zone: http://69264.aceboard.fr

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/file(...)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a936.g.akamai.net/7/936/537/00000002/housecall.antivirus.com/housecall(...)

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_beta/imloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe

O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

?????j ' attend votre avis ! ;)
-------
fred[:christho:1]

répondre
mistralou le 31 mars 2005 à 15h55
Très bien acrobaze....mais vous attaquez dur dur...



A propos des services, comment savoir par exemple que C:\WINDOWS\mfcec.exe est néfaste, donc à supprimer?

Est ce que c'est parceque on le voit en O23 et que la désignation du fichier est farfelue?

Ou alors existe t'il une liste?
répondre
45phh le 31 mars 2005 à 16h24
je dirais







O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)



O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab







la premiere n ayant aucune action sur fichier donc inutile



a priori le ppctlcab serais connu comme contenant un virus





-------
Certaines personnes apportent la preuve que la reincarnation existe. En effet on ne peut pas devenir aussi con en une seule vie
répondre
fredodu le 31 mars 2005 à 16h31
ben , je sais pas !!bon , je peut te dire que sur cette machine , il ni a aucun virus !!

ces mon log !!disont , j ' ai fait ce log exprés pour diversifier du premier ! ;)
-------
fred[:christho:1]

répondre
pow-wow le 31 mars 2005 à 17h06
45phh a écrit :
je dirais







O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)



O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab







la premiere n ayant aucune action sur fichier donc inutile



a priori le ppctlcab serais connu comme contenant un virus




:hello:



C'est le scanner de Pestpatrol, cela m'étonnerai qu'il soit infecté :??:
-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre [:pow-wow:8] [:pow-wow:3] [:sms:1]
répondre
zobyzzz le 31 mars 2005 à 18h58
TRes bon initiative acrobaze je prend des le prochain ;) :D
répondre
acrobaze le 31 mars 2005 à 20h34
Ok. Il faut distinguer deux choses :



1- Ce qui est particulier et occasionnel pour cet ordi.

2- L'infection en elle-même, visible par ces lignes R :



HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345



============

le 1 :



-L'utilisateur a installé un antispyware qui serait capable d'en créer uniquement pour faire croire à son efficacité: Security iGuard

Renseignements sur les pseudos antispywares (et liste) ici :

http://www.spywarewarrior.com/rogue_anti-spyware.htm



-Ces deux O9 parasites :

O9 - Extra button: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

n'ont rien à voir avec le reste.



============

Le 2:



Caractéristiques de l'infection :



- Des lignes R où figurent une dll et un nombre aléatoire, du type:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nbjxw.dll/sp.html#12345

Eventuellement accompagnées de R "About:Blank".



- Une ligne O2 (Bho) : ll aléatoire et clsid introuvable avec Google.



- Des fichiers O4 aux noms visiblement aléatoires, où l'intitulé est leur propre nom :

[sdkec32.exe] C:\WINDOWS\sdkec32.exe

Il peut y en avoir 1, 2..ou 12...selon la durée de l'infection.



- Avec 2k et Xp : un service : les mêmes noms reviennent sans arrêt:

Remote Procedure Call , Network Security Service, Workstation NetLogon Service , sans propriétaire identifié : Unknown owner , et au fichier *.exe aléatoire.



Liste des principaux services connus ici:

http://www.spywareaid.com/023l.php



===============



L'outil : About:Buster 4.

http://www.majorgeeks.com/download4289.html



================



Le plan type (selon le log posté en haut) :



1- Terminer le service:



Démarrer-> exécuter->taper services.msc

Double cliquer : Remote Procedure Call (RPC) Helper

Le régler sur "Arrêté" et "Désactivé".



2- Télécharger l'outil.



- Déziper -> lancer

- Cliquer "Check for updates" et dl les mises à jour.



3- Redémarrer en mode sans échec.



Lancer HJT et cocher :



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\arwxy.dll/sp.html#12345



R3 - Default URLSearchHook is missing



O2 - BHO: (no name) - {0F1D7B59-74D4-8EF2-0A9A-D8796491F3F9} - C:\WINDOWS\system32\sdkjn32.dll

O2 - BHO: (no name) - {378C4C2A-DC47-97E7-A351-AD132AB38EAF} - (no file)

O2 - BHO: (no name) - {4EE4E44A-98ED-3E54-CC90-68B00AD5E052} - (no file)

O2 - BHO: (no name) - {5E6249C5-60C3-942A-3167-34D3B0BD6890} - (no file)

O2 - BHO: (no name) - {CE0E873E-9721-D81F-06ED-C87CD65A7F05} - (no file)



O4 - HKLM\..\Run: [syshv32.exe] C:\WINDOWS\syshv32.exe



O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcec.exe



Et donc ceci, non directement en rappoort avec le trojan:

O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O9 - Extra button: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {635350B9-9207-44AF-A2CC-FF5A39A16BDD} - (no file) (HKCU)



Cliquer "Fix checked".



Toujours en sans échec, supprimer :



C:\WINDOWS\syshv32.exe

C:\WINDOWS\mfcec.exe



Vider la corbeille.



Toujours en sans échec :



Lancer ("Start") au minimum DEUX fois de suite About:Buster.



Demander de poster les logs, ne serait-ce que pour vérifier qu'About:Buster a bien été mis à jour (actuellement, base de données 23).



4- Vérifier avec un nouveau log fait en mode normal.



- Si c'est parti, c'est terminé.



- S'il y a de nouveau des lignes R du type :

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nbjxw.dll/sp.html#12345

Recommencer la procédure.



=============



Attention aux O23 indiquant "File missing". Cet exe peut très bien être présent en fait. Aussi, de toutes façons, inclure son nom dans les fichiers à supprimer.



:hello:
-------
Pour le plaisir du texte.

Safety mod>>>HERE<<<
Fier parrain de Bibine5 !
répondre
acrobaze le 31 mars 2005 à 21h34
Log 2.



Qui s'y frotte ? :hello:



Logfile of HijackThis v1.99.1

Scan saved at 3:24:37 PM, on 3/26/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\mfcua.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe

C:\WINDOWS\system32\svchost.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\EzButton\CPATR10.EXE

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\WINDOWS\System32\CePMTray.exe

C:\Program Files\TOSHIBA\TouchPadNF\TPTray.exe

C:\toshiba\ivp\ism\pinger.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ntjk32.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {8A8F47B1-61ED-1CBB-2DB3-D81BFA6E22BF} - C:\WINDOWS\sysno.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd

O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEKey.exe] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPadNF\TPTray.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~2\NORTON~2\QDCSFS.exe /startup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [ntjk32.exe] C:\WINDOWS\system32\ntjk32.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.LNK = C:\Program Files\Norton SystemWorks\Norton CleanSweep\csinsmnt.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.toshiba.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/i...448/mcfscan.cab

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcua.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe

-------
Pour le plaisir du texte.

Safety mod>>>HERE<<<
Fier parrain de Bibine5 !
répondre
fredodu le 01 avril 2005 à 06h18
pourrais tu , nous donnez des adresse pour mieux comprendre tous cela !!

des tutaux !! y en a ! mais pour bien expliqué !!

-------
fred[:christho:1]

répondre
jean-chretien1 le 01 avril 2005 à 15h31
salut



je suis encore partant

Quand mettras-tu la réponse stp ?
répondre
pow-wow le 01 avril 2005 à 16h34
Salut Acrobaze



Voici ce que je propose:



http://www.majorgeeks.com/download4289.html

Télécharger cet OUTIL

-Le lancer et le mettre à jour, le laisser en attente





Ctrl/Alt/Suppr



Termine les processus suivants:



C:\WINDOWS\system32\mfcua.exe

C:\WINDOWS\system32\ntjk32.exe





****************************************



Fermer tous les programmes, y compris internet explorer.

Lancer HijackThis "Do a system scan only". Cocher ces lignes et cliquer "Fix checked".



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {8A8F47B1-61ED-1CBB-2DB3-D81BFA6E22BF} - C:\WINDOWS\sysno.dll

O4 - HKLM\..\Run: [ntjk32.exe] C:\WINDOWS\system32\ntjk32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll <-- sur cette dll, j'ai un doute, j'ai trouvé comme info "une variante de CWS, donc peut-être utiliser CWShredder

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcua.exe



****************************************



Redémarrer en mode sans échec (en tapotant F8 au démarrage).

Avoir accès fichiers cachés.

(explorateur windows->outils->options des dossiers->affichage

"Afficher les fichiers cachés"->coché

"Masquer les extensions.."->décoché)



Toujours en mode sans echec, supprimer les dossiers/fichiers en gras



C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier



(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)



IE > Outils > Options internet

Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".

Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.



Vide la corbeille



Lance DEUX fois de suite About:Buster ("Start")



Dans l'Explorateur Windows recacher les fichiers système afin de ne pas faire d'erreur à l'avenir:

Retourne à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.



Reboot en mode normal et poste un nouveau log.

-------
Dieu créa le chat pour permettre à l'homme de caresser un tigre [:pow-wow:8] [:pow-wow:3] [:sms:1]
répondre
demi 33 le 01 avril 2005 à 17h54
acrobaze a écrit :
Log 2.



Qui s'y frotte ? :hello:



Logfile of HijackThis v1.99.1

Scan saved at 3:24:37 PM, on 3/26/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Salut Bassin!

Si:



"Le processus wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME) est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet.



Il s'agit d'un processus pouvant être arrêté.



Il peut toutefois s'agir du cheval de Troie Troj/Cult-B. Sa présence est trahie par l'entrée suivante dans la base de registre



HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft auto update = WUAUCLT.EXE"



Alors que fait ce processus dans W XP?!



répondre
yannik le 01 avril 2005 à 18h29
Très bon topic Acrobaze !



demi 33 : Source ?
-------
:jap:
répondre
45phh le 01 avril 2005 à 19h08
Bon moi je vois que je ne suis pas au point si j ai besoin je vous appellerais :lol:



tres bonne idée ce topic [:45phh:2]
-------
Certaines personnes apportent la preuve que la reincarnation existe. En effet on ne peut pas devenir aussi con en une seule vie
répondre
fredodu le 01 avril 2005 à 20h11
j ' avais bien trouvé comme pow pow ! mais ces quoi cette outil ?

http://www.majorgeeks.com/download4289.html

on en apprend tous les jours ! :D

-------
fred[:christho:1]

répondre
yannik le 01 avril 2005 à 20h17
En fait, cet outil sert à remettre "en état" la page de démarrage de IE lorsqu'elle contient par exemple "About:Blank" ou "res://C:\WINDOWS\system32\xnsrv.dll/sp.html#14044 " etc.
-------
:jap:
répondre
acrobaze le 01 avril 2005 à 22h15


Voilà, Pow-wow. C'est exactement ça.



Simplement, ajouter, tant que le gars est en mode normal, au début :



Démarrer->exécuter->taper services.msc

et désactiver le service : Service: Workstation NetLogon Service



----



En effet, dans certains logs (il doit y avoir x variantes de ce trojan en fait), l'infection continue malgré tout le reste car cocher et "fixer" la O23 n'a pas désactivé le service.



-----



A remarquer dans ce log:



I-O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

qui n'a rien à voir. Simplement un résidu d'Alexa.



--------



II- Le gars n'est pas à jour :



Logfile of HijackThis v1.99.1

Scan saved at 3:24:37 PM, on 3/26/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



IE6 Sp1 :

http://www.microsoft.com/downloads/details.aspx?FamilyID=1e1550cb-5e5d-48f5-b(...)



----------



About:Buster va chercher et éliminer tous les fichiers générés par le trojan et que l'on ne voit pas avec HJT.



-----------



C:\WINDOWS\System32\wuauclt.exe est un fichier pour les mises à jour de Windows, pas seulement de Me.



Il doit être suspecté lorsqu'on le voit lancé d'une ligne O4 avec un intitulé du type : Microsoft auto update.









-------
Pour le plaisir du texte.

Safety mod>>>HERE<<<
Fier parrain de Bibine5 !
répondre
demi 33 le 01 avril 2005 à 22h34
yannik a écrit :
Très bon topic Acrobaze !



demi 33 : Source ?


Salut!

Voilà

http://www.commentcamarche.net/processus/processus.php3
répondre
acrobaze le 01 avril 2005 à 23h32
Log 3: Un grand classique.



Logfile of HijackThis v1.99.0

Scan saved at 21:12:48, on 29/03/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\Program Files\Microsoft Office\Office10\msoffice.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

c:\progra~1\intern~1\iexplore.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Speech\sapisvr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Michael\Desktop\SYSTEM TOOLS\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wvywjcdtyircmqfevhgxh.co...DcJlWqgj2E.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/

O2 - BHO: (no name) - {D8088946-D66C-04FE-3ED9-2B18C7579846} - C:\DOCUME~1\Michael\APPLIC~1\SKIPAM~1\Acid Jugs.exe (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [wma active vc 4] C:\Documents and Settings\All Users\Application Data\Loadmpegwmaactive\CreativeExtra.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [proccoal] C:\DOCUME~1\Michael\APPLIC~1\FORBRO~1\move store.exe

O4 - Startup: LimeWire On Startup.lnk = C:\Documents and Settings\Michael\My Documents\jamies stuff\LimeWire\LimeWire.exe

O4 - Global Startup: Image Transfer.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: BT Yahoo! Sidebar - {51085E3D-A958-42A2-A6BE-A6A9B0BAF276} - C:\Program Files\Yahoo!\browser\ysidebarIE.dll

O9 - Extra 'Tools' menuitem: BT &Yahoo! Sidebar - {51085E3D-A958-42A2-A6BE-A6A9B0BAF276} - C:\Program Files\Yahoo!\browser\ysidebarIE.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: members.freewebs.com

O15 - Trusted Zone: http://members10.freewebs.com

O15 - Trusted Zone: http://members13.freewebs.com

O15 - Trusted Zone: http://members14.freewebs.com

O15 - Trusted Zone: members9.freewebs.com

O15 - Trusted Zone: http://members9.freewebs.com

O15 - Trusted Zone: www.freewebs.com

O15 - Trusted Zone: http://www.freewebs.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {231B1C6E-F934-42A2-92B6-C2FEFEC24276} (yucsetreg Class) - C:\Program Files\Yahoo!\common\yucconfig.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab

O16 - DPF: {D7E84AF2-BF0A-4922-A077-60CFFF0F2E62} (TSRChat Control) - http://www.sims2.thesimsresource.com/TSRChat.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{094FF14D-3C95-49C4-B71B-B258733A4497}: NameServer = 194.74.65.87 194.72.9.38

O17 - HKLM\System\CS1\Services\Tcpip\..\{094FF14D-3C95-49C4-B71B-B258733A4497}: NameServer = 194.74.65.87 194.72.9.38

O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Program Files\Common Files\Stibo\RS_ProtocolHandler.dll

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: YPCService - Yahoo! Inc. - C:\WINDOWS\system32\YPCSER~1.EXE



Solution ?

-------
Pour le plaisir du texte.

Safety mod>>>HERE<<<
Fier parrain de Bibine5 !
répondre
balltrap34 le 01 avril 2005 à 23h42
salut acrobaze

chasser le naturel il revient au galop

tu fait des heures sup de professeur

lol

:lol:
-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/
répondre
Labbaipierre le 02 avril 2005 à 01h08
Pour le Log 3 :



> Mettre à jour HiackThis : Logfile of HijackThis v1.99.0

> Mettre à jour IE : MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



--------



Passer un coup de l'uninstall de Lop.com : http://lop.com/new_uninstall.exe



Et fixer ces lignes



O2 - BHO: (no name) - {D8088946-D66C-04FE-3ED9-2B18C7579846} - C:\DOCUME~1\Michael\APPLIC~1\SKIPAM~1\Acid Jugs.exe (file missing)

O4 - HKLM\..\Run: [wma active vc 4] C:\Documents and Settings\All Users\Application Data\Loadmpegwmaactive\CreativeExtra.exe

O4 - HKCU\..\Run: [proccoal] C:\DOCUME~1\Michael\APPLIC~1\FORBRO~1\move store.exe

O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Program Files\Common Files\Stibo\RS_ProtocolHandler.dll



Et la 023 semble être réellement "missing"



O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)



Voilà pour moi... :)



Ps : les sites mis en 'trusted zone' (015) semblent être tout à fait normaux et sans dangers d'après ce que j'ai lu. ;)
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
répondre
herisson41 le 02 avril 2005 à 03h30
Acrobaze, très bonne initiative [:alexiao:3]

Voilà ma solution pour le log 3

I - Télécharger et lancer cet uninstall .

http://lop.com/help.html#uninstall

II – Refaire un hijackthis

Dans le nouvel hijackthis je suppose que la ligne

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wvywjcdtyircmqfevhgxh.co...DcJlWqgj2E.html

n’apparaitraît plus, sinon il faudrait la fixer

1) Lignes à fixer

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/

O2 - BHO: (no name) - {D8088946-D66C-04FE-3ED9-2B18C7579846} - C:\DOCUME~1\Michael\APPLIC~1\SKIPAM~1\Acid Jugs.exe (file missing)

O4 - HKLM\..\Run: [wma active vc 4] C:\Documents and Settings\All Users\Application Data\Loadmpegwmaactive\CreativeExtra.exe

O4 - HKCU\..\Run: [proccoal] C:\DOCUME~1\Michael\APPLIC~1\FORBRO~1\move store.exe

O4 - Global Startup: Image Transfer.lnk = ?

O9 - Extra button: BT Yahoo! Sidebar - {51085E3D-A958-42A2-A6BE-A6A9B0BAF276} - C:\Program Files\Yahoo!\browser\ysidebarIE.dll

O9 - Extra 'Tools' menuitem: BT &Yahoo! Sidebar - {51085E3D-A958-42A2-A6BE-A6A9B0BAF276} - C:\Program Files\Yahoo!\browser\ysidebarIE.dll

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

2) Supprimer les fichiers en gras

c:\progra~1\intern~1\iexplore.exe

C:\DOCUME~1\Michael\APPLIC~1\SKIPAM~1

C:\Documents and Settings\All Users\Application Data\Loadmpegwmaactive

C:\DOCUME~1\Michael\APPLIC~1\FORBRO~1

C:\Program Files\Yahoo!\browser\ysidebarIE.dll

3) vider la corbeille

4) redémarrer

5) refaire un hijackthis


-->Message édité par herisson41 le 18/01/2006 16:10:42<--
-------
[:AleXiaO:3] Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
[:fml:9] Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
[:juju07:2] Liste des anniversaires à souhaiter
[:herisson41:3] Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
répondre
acrobaze le 02 avril 2005 à 12h19
Yes! C'était donc Lop.com.



---------1



Si la personne répond : "Quand je clique sur le lien, j'ai un message de sécurité, et je ne peux accéder au site et télécharger le fichier".

ou encore:

"Impossible de lancer le fichier, mon antivirus le détecte comme trojan Swissor et le supprime ou m'empêche de l'ouvrir."



Il y a un lien alternatif :



http://www.thespykiller.co.uk/downloads.htm

Télécharger le "Lop uninstall" de cette page, le lancer, redémarrer.



----------2



Dans ce log particulier:



Attention aux O23 : une ligne O23, même avec "File missing" ou "no file", ne devrait pas être cochée si le service est légitime.

Liste des principaux services connus:

http://www.spywareaid.com/023l.php



-----



Hérisson : si tu fais supprimer ce fichier:

c:\progra~1\intern~1\iexplore.exe

le gars n'a plus accès à internet.

C:\Program Files\Internet Explorer est le bon dossier pour ce fichier.



Dans les R : Google.co.uk est le Google version anglaise. Ne pas supprimer.



Dans les O9 : Yahoo et eBay sont aussi des sites légitimes. Ne pas supprimer non plus.



-----



Pour les O15, en cas de doute, demander à l'utilisateur si c'est lui qui a placé les sites en zone de confiance. Dans ce cas-là, il ne savait pas. Alors on les a supprimées.
répondre
acrobaze le 02 avril 2005 à 12h29
Log 4



Passé Ad-Aware et SpyBot. Mais toujours des popups qui surgissent au hasard.



Logfile of HijackThis v1.99.1

Scan saved at 11:27:39 AM, on 3/27/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\HP\KBD\KBD.EXE

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Norton Password Manager\AcctMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

C:\Program Files\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost



O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegsb32.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Compaq Connections.lnk.disabled

O4 - Global Startup: HotSync Manager.lnk.disabled

O4 - Global Startup: Microsoft Find Fast.lnk.disabled

O4 - Global Startup: Microsoft Office Shortcut Bar.lnk.disabled

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office97\Office10\OSA.EXE

O4 - Global Startup: Office Startup.lnk.disabled

O4 - Global Startup: Quicken Scheduled Updates.lnk.disabled

O4 - Global Startup: SpySubtract.lnk.disabled

O4 - Global Startup: Weekly Compass.lnk.disabled



O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing)

O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing)

O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing)

O9 - Extra button: Arkadium - {A442DE97-7F7F-4265-A813-4E5D81C83EFE} - C:\Program Files\ArkadiumV2\arkadium.exe

O9 - Extra 'Tools' menuitem: Arkadium - {A442DE97-7F7F-4265-A813-4E5D81C83EFE} - C:\Program Files\ArkadiumV2\arkadium.exe

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe



O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
répondre
herisson41 le 02 avril 2005 à 12h40
acrobaze a écrit :


Hérisson : si tu fais supprimer ce fichier:

c:\progra~1\intern~1\iexplore.exe

le gars n'a plus accès à internet.

C:\Program Files\Internet Explorer est le bon dossier pour ce fichier.



Dans les R : Google.co.uk est le Google version anglaise. Ne pas supprimer.



Dans les O9 : Yahoo et eBay sont aussi des sites légitimes. Ne pas supprimer non plus.





Merci Acrobaze pour la leçon :jap:



J'avais mis de supprimer c:\progra~1\intern~1\iexplore.exe parce que je croyais que ce n'était pas pareil que C:\Program Files\Internet Explorer



Pour les 09 je ne devais donc pas fixer ces lignes, si j'ai bien compris



Dans ce cas fallait-il supprimer ysidebarIE.dll qui après recherche m'avait paru suspect



Rendez-vous pour le prochain ;)
-------
[:AleXiaO:3] Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
[:fml:9] Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
[:juju07:2] Liste des anniversaires à souhaiter
[:herisson41:3] Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.
répondre
acrobaze le 02 avril 2005 à 12h50
Salut!

Ce genre de nom : \intern~1 est un nom tronqué de type DOS, où on ne peut pas excéder 8 signes pour les noms de fichiers.

Le nom sera donc : 6 signes et ~1 qui exprime la "coupure".



Non, ne pas supprimer ysidebarIE.dll, c'est Yahoo.



:hello:

répondre
jean-chretien1 le 02 avril 2005 à 14h46
salut

la j'ai de serieux doutes, surtout pour les O4 "disabled", et encore, si y'avait que ça :)



0/ Suppression fichiers inutiles et temp

1/Stoppe les processus suivants dans le Gestionnaire des tâches :

elitegsb32.exe

Ajout supp de prog -> désinstaller New.net

2/relancer hijack puis cocher les lignes suivantes si elles existent encore :



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegsb32.exe <- EliteBar adware variant

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - Global Startup: Microsoft Find Fast.lnk.disabled

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office97\Office10\OSA.EXE

O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing)

O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing)

O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing)





Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.

répondre
Labbaipierre le 02 avril 2005 à 14h46
Log 4 :



> Demander si la personne connait le site "http://www.comcast.net"



Dans HT, fixer ces lignes:



O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitegsb32.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: HotSync Manager.lnk.disabled

O4 - Global Startup: Microsoft Find Fast.lnk.disabled

O4 - Global Startup: Microsoft Office Shortcut Bar.lnk.disabled

O4 - Global Startup: Office Startup.lnk.disabled

O4 - Global Startup: Quicken Scheduled Updates.lnk.disabled

O4 - Global Startup: SpySubtract.lnk.disabled

O4 - Global Startup: Weekly Compass.lnk.disabled

O9 - Extra button: Arkadium - {A442DE97-7F7F-4265-A813-4E5D81C83EFE} - C:\Program Files\ArkadiumV2\arkadium.exe

O9 - Extra 'Tools' menuitem: Arkadium - {A442DE97-7F7F-4265-A813-4E5D81C83EFE} - C:\Program Files\ArkadiumV2\arkadium.exe



Et faire ça :



Panneau de configuration > ajout/suppression de programmes : Désinstaller "NewDotNet"



Si le programme est absent, suis la procédure n°4 de cette page: http://www.newdotnet.com/removal.html



Redémarre ensuite l'ordinateur.



> Reposter nsuite un log.



> On peut aussi prévoir le message au démarrage (il manque "Wildtangent...") et le désactiver par msconfig. ;)
-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !
répondre
demi 33 le 02 avril 2005 à 15h11
acrobaze a écrit: Yes! C'était donc Lop.com.



Attention aux O23 : une ligne O23, même avec "File missing" ou "no file", ne devrait pas être cochée si le service est légitime.



Comme ceux qui suivent avec du retard ont quand même le droit de qestionner le maître:

ça veut dire quoi "file missing"?

Merci
répondre
page précédente  1 - 2 - 3 - 4 - 5 - 6 - 7
ou aller à la page
 page suivante


À PROPOS DU FORUM MICRO HEBDO

LES FORUMS THÉMATIQUES ET TECHNIQUES

LES FORUMS GÉNÉRAUX

ARCHIVES DU FORUM

Forum de Micro Hebdo / Questions techniques diverses / Sécurité/ Tuto Pratique HijackThis
publicité
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.