Espace membre :
flechePublicité

17 messages
Filtrer ok

page qui s'ouvre toute seule (hijack)

Bonjour a tous, je vous poste le rapport hijack
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:18:51, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\Sygate\SPF\smc.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\HPZipm12.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\TBPanel.exe
I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\MSN Messenger\msnmsgr.exe
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\Documents and Settings\Presario\Bureau\Anti spy\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Gainward] I:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [HP Software Update] I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] I:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [evhwfwhyia] i:\windows\system32\evhwfwhyia.exe evhwfwhyia
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers TBPANEL.lnk = I:\Documents and Settings\Presario\Mes documents\XPRT_46\PANEL32\TBPANEL.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159805808671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - I:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - I:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - I:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - I:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - I:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - I:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - I:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - I:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - I:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - I:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 6777 bytes
MERCI de m'aider
 
 
Et on peut savoir quel est le soucis? Parce qu'un rapport Hijackthis balancé comme ça...
Super Modérateur
 
 
C'est dans le titre, jai des pages internet qui s'ouvre toute seule sous internet explorer.
merci
 
 
Fixe cette ligne:

O4 - HKLM\..\Run: [evhwfwhyia] i:\windows\system32\evhwfwhyia.exe evhwfwhyia

Sinon, je ne vois rien d'autre.

Tiens nous au courant.
Super Modérateur
 
 
merci beaucoup, il semblerait que ce soit ca......c'est bizarre car ni spybot ni adware le detecte, simplement anti-spy(avec qui je l'ai mis en quarantaine) et hijack
 
 
Le probleme va revenir. L'entrée effacée dans hijackthis ne suffira pas.
> C'est un rootkit

Telecharge Blacklight (c'est un detecteur de rootkits) :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier "download" en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (evhwfwhyia), clique sur "next" puis sur "rename" pour chaque fichier, confirme le renommage et redemarre ton pc.

C'est pas obligatoire, mais tu peux aller effacer ces fichiers (ils sont visibles maintenant) rends toi dans les chemins que t'as indiqué Blacklight, qui doit être :
C\WINDOWS\System32\

Ensuite passe un coup de nettoyeur de registre avec Ccleaner par exemple.
 
 
rootkits na rien trouvé
05/11/07 16:57:28 [Info]: BlackLight Engine 1.0.61 initialized
05/11/07 16:57:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/11/07 16:57:29 [Note]: 7019 4
05/11/07 16:57:29 [Note]: 7005 0
05/11/07 16:57:30 [Note]: 7006 0
05/11/07 16:57:31 [Note]: 7011 1352
05/11/07 16:57:31 [Note]: 7026 0
05/11/07 16:57:31 [Note]: 7026 0
05/11/07 16:57:36 [Note]: FSRAW library version 1.7.1021
05/11/07 17:01:31 [Note]: 7007 0
Je pense que hijack suffit, de plus je lai mis en quarataine avec anti-spy
 
 
ok, j'avais pas lu la mise en quarantaine avec anti-spy
 
 
merci en tout cas, de plus jai fait un scan avec f secure online il ma trouvé et effacé 4 malwares. Voila merci beacoup tout a lair de marché correctement.
ET surtout merci a anti-spy car c'est le seul des anti spyware a avoir detecté le truc....
 
 
Torque_Roll a écrit:
Le probleme va revenir. L'entrée effacée dans hijackthis ne suffira pas.
> C'est un rootkit

C'est quand même incroyable que tu ne veuilles pas me laisser faire.

Si le problème revient ce sera un rootkit, et je le traiterai comme tel, tant qu'on a pas la preuve ça ne sert à rien de sortir toute l'artillerie.
Super Modérateur
 
 
juju251 a écrit:
C'est quand même incroyable que tu ne veuilles pas me laisser faire.

Je ne t'ai pas laisser faire quoi ?
On est sur un forum d'entre aide, j'ai le droit de donner mon avis.
Plus rien ne peux prouver que c'etait pas un rootkit, le fichier est passé en quarantaine.
 
 
Torque_Roll a écrit:
Plus rien ne peux prouver que c'etait pas un rootkit, le fichier est passé en quarantaine.

Rien ne peut prouver que c'était un rootkit non plus.

D'ailleurs, il y avait bien une entrée bizarre dans le log hijackthis ...

Il faut arrêter de voir des rootkits partout.

Et je me répète un rootkit ça s'enlève à la main
Super Modérateur
 
 
juju251 a écrit:
C'est quand même incroyable que tu ne veuilles pas me laisser faire.

Si le problème revient ce sera un rootkit, et je le traiterai comme tel, tant qu'on a pas la preuve ça ne sert à rien de sortir toute l'artillerie.



Il donne son interprétation comme chacun qui passe par ici peut le faire , perso j'aurai fait de même ....
 
 
 
Pareil que Juju, tu vois des rootkits partout, revois ta définition des rootkits et rien ne prouve en exécutant seul BlackLight qu'il ne reste pas d'autres fichiers en "sourdine"

Il va peut être détecter des exe ou des dll suspectes mais que la machine est totalement désinfectée rien ne le prouvera vraiment

Dans ton premier lien, je n'ai pas regardé les autres, il s'agit de popups provoqués par ErrorSafe depuis quand c'est un rootkit ? de plus il y avait MessengerPlus! 3 d'installé et si ça avait été simplement le sponsor (lop.com) ? il faut quand même poser la question à la personne

Spybot S&D était installé, il suffisait peut être de faire une mise à jour et de scanner en mode sans échec, ErrorSafe est dans la base antivirale de Spybot, d'autres excellents logiciels du type Spy Sweeper ou AVG antispywares auraient été tout aussi efficaces dans ce cas précis

On ne te dit pas que BlackLight n'est pas un bon outil mais que le faire exécuter d'emblée et systématiquement comme tu le fais, personnellement, je trouve ça un peu trop radical et c'est ne pas se poser les bonnes questions sur ce qui a provoqué l'infection dans la machine
 
 
Tiens tu disais que tu voulais plus me parler, parceque je te faisais chier

J'apporte de multiples preuves sur la solution apporté et tu contredis encore et encore, sans lire ce que j'apporte.

Pour le premier lien, Mailskinner est le programme qui installe le rootkit et qui montre cette pub d'Errorsafe, car c'etait pas le virus errorsafe mais une pub incessante pour telecharger ce faux antivirus qui est payant :
http://www.geckozone.org/forum/viewtopic.php?t=52810
http://www.informatruc.com/forum/ftopic19963.php
http://forum.zebulon.fr/lofiversion/index.php/t116798.html
etc...

Dans ces topics, si les auteurs etaient ensuite toujours embetés avec des virus, ils n'en ont rarement rien dis, ou alors j'ai poursuivi avec d'autres methodes.
 
 
Puisque ce topic par en chaussette, je préfère le fermer.
Modérateur Windows / Petites Annonces - Ventes et achats - OS alternatifs
 
 
     
17 messages
Filtrer ok

BE GEEK ! Avec Clubic Logo

flechePublicité