flechePublicité

17 messages
Filtrer ok

page qui s'ouvre toute seule (hijack)

Bonjour a tous, je vous poste le rapport hijack
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:18:51, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\Sygate\SPF\smc.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
I:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\HPZipm12.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\TBPanel.exe
I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
I:\WINDOWS\system32\wbem\wmiprvse.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\MSN Messenger\msnmsgr.exe
I:\Program Files\MSN Messenger\usnsvc.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\Documents and Settings\Presario\Bureau\Anti spy\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Gainward] I:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [HP Software Update] I:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] I:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [evhwfwhyia] i:\windows\system32\evhwfwhyia.exe evhwfwhyia
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers TBPANEL.lnk = I:\Documents and Settings\Presario\Mes documents\XPRT_46\PANEL32\TBPANEL.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159805808671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O22 - SharedTaskScheduler: Pr-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Dmon de cache des catgories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - I:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des vnements (Eventlog) - Unknown owner - I:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - I:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - I:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Carte puce (SCardSvr) - Unknown owner - I:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - I:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - I:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Clich instantan de volume (VSS) - Unknown owner - I:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - I:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage rseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - I:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 6777 bytes
MERCI de m'aider
 
 
Et on peut savoir quel est le soucis? Parce qu'un rapport Hijackthis balanc comme a...
Super Modrateur
 
 
C'est dans le titre, jai des pages internet qui s'ouvre toute seule sous internet explorer.
merci
 
 
Fixe cette ligne:

O4 - HKLM\..\Run: [evhwfwhyia] i:\windows\system32\evhwfwhyia.exe evhwfwhyia

Sinon, je ne vois rien d'autre.

Tiens nous au courant.
Super Modrateur
 
 
merci beaucoup, il semblerait que ce soit ca......c'est bizarre car ni spybot ni adware le detecte, simplement anti-spy(avec qui je l'ai mis en quarantaine) et hijack
 
 
Le probleme va revenir. L'entre efface dans hijackthis ne suffira pas.
> C'est un rootkit

Telecharge Blacklight (c'est un detecteur de rootkits) :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier "download" en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (evhwfwhyia), clique sur "next" puis sur "rename" pour chaque fichier, confirme le renommage et redemarre ton pc.

C'est pas obligatoire, mais tu peux aller effacer ces fichiers (ils sont visibles maintenant) rends toi dans les chemins que t'as indiqu Blacklight, qui doit tre :
C\WINDOWS\System32\

Ensuite passe un coup de nettoyeur de registre avec Ccleaner par exemple.
 
 
rootkits na rien trouv
05/11/07 16:57:28 [Info]: BlackLight Engine 1.0.61 initialized
05/11/07 16:57:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/11/07 16:57:29 [Note]: 7019 4
05/11/07 16:57:29 [Note]: 7005 0
05/11/07 16:57:30 [Note]: 7006 0
05/11/07 16:57:31 [Note]: 7011 1352
05/11/07 16:57:31 [Note]: 7026 0
05/11/07 16:57:31 [Note]: 7026 0
05/11/07 16:57:36 [Note]: FSRAW library version 1.7.1021
05/11/07 17:01:31 [Note]: 7007 0
Je pense que hijack suffit, de plus je lai mis en quarataine avec anti-spy
 
 
ok, j'avais pas lu la mise en quarantaine avec anti-spy
 
 
merci en tout cas, de plus jai fait un scan avec f secure online il ma trouv et effac 4 malwares. Voila merci beacoup tout a lair de march correctement.
ET surtout merci a anti-spy car c'est le seul des anti spyware a avoir detect le truc....
 
 
Torque_Roll a écrit:
Le probleme va revenir. L'entre efface dans hijackthis ne suffira pas.
> C'est un rootkit

C'est quand mme incroyable que tu ne veuilles pas me laisser faire.

Si le problme revient ce sera un rootkit, et je le traiterai comme tel, tant qu'on a pas la preuve a ne sert rien de sortir toute l'artillerie.
Super Modrateur
 
 
juju251 a écrit:
C'est quand mme incroyable que tu ne veuilles pas me laisser faire.

Je ne t'ai pas laisser faire quoi ?
On est sur un forum d'entre aide, j'ai le droit de donner mon avis.
Plus rien ne peux prouver que c'etait pas un rootkit, le fichier est pass en quarantaine.
 
 
Torque_Roll a écrit:
Plus rien ne peux prouver que c'etait pas un rootkit, le fichier est pass en quarantaine.

Rien ne peut prouver que c'tait un rootkit non plus.

D'ailleurs, il y avait bien une entre bizarre dans le log hijackthis ...

Il faut arrter de voir des rootkits partout.

Et je me rpte un rootkit a s'enlve la main
Super Modrateur
 
 
juju251 a écrit:
C'est quand mme incroyable que tu ne veuilles pas me laisser faire.

Si le problme revient ce sera un rootkit, et je le traiterai comme tel, tant qu'on a pas la preuve a ne sert rien de sortir toute l'artillerie.



Il donne son interprtation comme chacun qui passe par ici peut le faire , perso j'aurai fait de mme ....
 
 
 
Pareil que Juju, tu vois des rootkits partout, revois ta dfinition des rootkits et rien ne prouve en excutant seul BlackLight qu'il ne reste pas d'autres fichiers en "sourdine"

Il va peut tre dtecter des exe ou des dll suspectes mais que la machine est totalement dsinfecte rien ne le prouvera vraiment

Dans ton premier lien, je n'ai pas regard les autres, il s'agit de popups provoqus par ErrorSafe depuis quand c'est un rootkit ? de plus il y avait MessengerPlus! 3 d'install et si a avait t simplement le sponsor (lop.com) ? il faut quand mme poser la question la personne

Spybot S&D tait install, il suffisait peut tre de faire une mise jour et de scanner en mode sans chec, ErrorSafe est dans la base antivirale de Spybot, d'autres excellents logiciels du type Spy Sweeper ou AVG antispywares auraient t tout aussi efficaces dans ce cas prcis

On ne te dit pas que BlackLight n'est pas un bon outil mais que le faire excuter d'emble et systmatiquement comme tu le fais, personnellement, je trouve a un peu trop radical et c'est ne pas se poser les bonnes questions sur ce qui a provoqu l'infection dans la machine
 
 
Tiens tu disais que tu voulais plus me parler, parceque je te faisais chier

J'apporte de multiples preuves sur la solution apport et tu contredis encore et encore, sans lire ce que j'apporte.

Pour le premier lien, Mailskinner est le programme qui installe le rootkit et qui montre cette pub d'Errorsafe, car c'etait pas le virus errorsafe mais une pub incessante pour telecharger ce faux antivirus qui est payant :
http://www.geckozone.org/forum/viewtopic.php?t=52810
http://www.informatruc.com/forum/ftopic19963.php
http://forum.zebulon.fr/lofiversion/index.php/t116798.html
etc...

Dans ces topics, si les auteurs etaient ensuite toujours embets avec des virus, ils n'en ont rarement rien dis, ou alors j'ai poursuivi avec d'autres methodes.
 
 
Puisque ce topic par en chaussette, je prfre le fermer.
Modrateur Windows / Petites Annonces - Ventes et achats - OS alternatifs
 
 
     
17 messages
Filtrer ok

BE GEEK ! Avec Clubic Logo

flechePublicité