Probleme aussi avec virus!!

Résolu/Fermé
figarro - 22 janv. 2005 à 04:18
 figarro - 24 janv. 2005 à 20:08
J'Ai aussi un probleme de virus intensif..j'ai fais un peu ec que vous avez dit a d'autres en termes de prog..J'ai ZA pro qui bloc environ 1500 intrusion pas 3 jours... j'Ai downloader Spy sweeper..spywareblaster..spybot S&D et antivirus AVG...mais rien n'Est capable de regler mon prob..
Voici mon log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 22:16:25, on 2005-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\defragfatx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Aidez moi!!!
merci!!

21 réponses

S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 04:54
Salut Figarro.

Redemarre en mode sans echec (tapote F5 ou F8 dès le démarrage de l'odinateur)
Lance HijackThis, coche et fixe les lignes suivantes:

O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Compliant] katmln.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe

http://www.sophos.com/virusinfo/analyses/w32rbotir.html
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html

Affiche tous les fichiers et dossiers :
Clique sur démarrer, paramètres, panneau de configuration, option des dossiers, affichage:
Coche "Afficher les fichiers et dossiers cachés"
Décoche "Masquer les extensions dont le type est connu"
Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Valide par "Ok"

Efface les fichiers en gras:

C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe
C:\WINDOWS\system32\defragfatx.exe

et vide la corbeille
0
Richard1 Messages postés 905 Date d'inscription lundi 4 octobre 2004 Statut Membre Dernière intervention 24 juillet 2008 189
22 janv. 2005 à 06:55
Bonjour S!Ri,

Juste comme celà, en passant: En supprimant studio.exe il aura quelques problèmes à faire fonctionner son Winamp...

Peut-être que oui, peut-être que non!!!

C'est juste un commentaire personnel et ça vaut ce que ça vaut.

Bien amicalement

Richard1 (Montréal, Canada)
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 15:26
sakut S!Ri
sophos dit qu il se met dans le dossier systeme et la il est dans le systeme32
je ne sais pas si c est une ommission de sophos ou etant donner que se n est pas le meme emplacement???????????????
gros doute??????


la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!RI.....
JE te remercie enormement pour ton aide...j'Ai fais ce que tu m'As dit..j'Espere que cela fonctionnera...
voici mon nouveau log de hijackthis
Logfile of HijackThis v1.99.0
Scan saved at 16:46:12, on 2005-01-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\divers\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ierecherche.sympatico.ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sympatico.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Service Internet Sympatico
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106283094233
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: Domain = sympatico.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{33962513-8164-4D18-94AB-0C0E1DBB2628}: NameServer = 192.168.2.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\Imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe



Si tu vois autre chose que j'aurais du faire..gene toi pas...tu m'aides enormement...
Merci!!!
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 15:17
Salut Richard1

Studio.exe est un Ver (W32/Rbot-TW chez sophos).
Regarde bien le nom de la clef: [Sygate Personal Block]
Rien a voir avec Sygate, et rien a voir avec Winamp.

J'ai mis le lien:
http://www.sophos.fr/virusinfo/analyses/w32rbottw.html
qui décrit ce ver.
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 15:39
Salut Balltrap32

Dans les descriptifs de sophos, le dossier system de windows est utilisé pour dire system32 sur NT/2K/XP et system sur 9x/Me.

Et au vu du nombre de clefs et des noms qui n'ont rien à voir, je n'ai plus de doutes.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 15:45
oui j avais pas penser a cela
comme certain editeur anti virus determine bien le dossier c est pour cela que je me suis poser la question

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 15:52
Oui, moi aussi je me pose souvant la question avec certains descriptifs un peu ambigus. J'utilise parfois les bases des editeurs pour develloper un petit logiciel freeware (TaskBot, sur mon site, a partir du profil) qui compare les processus actifs à une base de donnée. Et souvant je doute sur certaines descriptions.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 15:55
quelle genre de log

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 16:00
Un soft qui affiche les processus en cours d'utilisation (genre gestionnaire de tâches amélioré) et qui affiche un descriptifs des process s'il existe dans la base.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 16:03
style le robot hijack mais avec juste les processus
cela pourrat etre bien utile
mais bonjour le boulot pour tous repertorier

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Utilisateur anonyme
22 janv. 2005 à 16:06
Salut
dans le genre celui ci est pas mal>>> http://www.sysinternals.com/ntw2k/freeware/procexp.shtml


There's a thin line between Love and Hate....
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 16:11
oui, ca m'aide à reperer rapidement un process suspect. Mais cela n'empêche pas un Hijack ou un scan de virus. Juste un outil en plus qui met sur la piste.

(en gestionnaire de tâche amélioré, il y a aussi inxppect qui est bien. complet avec des infos sur la config. mais sans la base de donnée...)

effectivement, la bd est la partie la plus longue et jamais complête...
;-)
0
Utilisateur anonyme
22 janv. 2005 à 16:18
....que veut tu dire par "sans la base de donnée"???

There's a thin line between Love and Hate....
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 16:19
je te propose aps certain site pour ta base de donner je suis certain que tu les as deja

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 16:29
Salut Wael#,

"Sans la base de donnée", je veux dire par la que j'essaie de donner un descriptif en plus que celui fournit par le fabriquant.
Genre les descriptions fournies par:

http://www.commentcamarche.net/processus/processus.php3
http://www.reger24.de/processes.php
http://www.answersthatwork.com
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.inoculer.com/processus.php3
http://www.eddys-domain.de/XP_Tips/Security/prozesse2.htm
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 16:32
BallTrap34, Donne toujours les liens si tu as le temps, ca ne servira pas qu'à moi...
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 16:41
J'ai retrouvé l'adresse d' Inxppect:

http://3psilon.free.fr/index.php?pa=22
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 17:04
http://www.windowsstartup.com/wso/browse.php?l=23&start=250&end=275

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 17:06
je l'avais pas celui là. merci.
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
22 janv. 2005 à 17:15
de rien
tu as aussi celle ci ou tu peut voir si l exe est bon ou mauvais ainsi
que le hachage
http://research.pestpatrol.com/Fileinfo/QueryFileInfo.asp

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
22 janv. 2005 à 17:26
Bien celui là,
Je ne connaissais pas cette partie du site avec les sommes MD5. C'est pas très courant. Et sur d'autres sites, elle ne sont pas complètes.
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
23 janv. 2005 à 22:59
Re'

Relance HijackThis, coche et fixe les entrées suivantes:

O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Compliant] katmln.exe

Efface les fichiers suivants:

C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\katmln.exe

Pour le reste, ton log est propre, et le firewall bloque les attaques. Bref, il fait son travail.
0