analyse d'un hijack apres un hack :/

Question

Bonjour voila hier soir je me suis fait double hacker (mon compte msn + mon compte steam) et je voudrais savoir comment la personen qui as fait sa a pu le faire, je vous montre mon hijack en esperant trouver ce qui a bien pu ouvrir la porte si facilement :Logfile of HijackThis v1.99.1Scan saved at 09:16:41, on 28/02/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\WINDOWS\System32
vraidservice.exeC:\GuiGui\Winamp\winampa.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\GuiGui\ZoneAlarm\zlclient.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\GuiGui\Antivir\AVGNT.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\GuiGui\Antivir\AVGUARD.EXEC:\GuiGui\Antivir\AVWUPSRV.EXEC:\GuiGui\FTP Serveur Expert\G6FTPSERVER.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wbem\unsecapp.exeC:\GuiGui\World of Warcraft\WoW.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\GuiGui\DownLoAd\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogole.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\GuiGui\adobe reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\GuiGui\SPYBOT~1\SDHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32
vraidservice.exeO4 - HKLM\..\Run: [Windows Compliant] hjsxli.exeO4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exeO4 - HKLM\..\Run: [WinampAgent] C:\GuiGui\Winamp\winampa.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Zone Labs Client] "C:\GuiGui\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [AVGCtrl] C:\GuiGui\Antivir\AVGNT.EXE /minO4 - HKLM\..\RunServices: [Windows Compliant] hjsxli.exeO4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe

Utilisateur anonyme · Answer

slt

pkoi ce serait une personne qui t'aurait "hackée" ??

t'as besoin de personne, t'as de gros worms dans ta machine tt simplement

O4 - HKLM\..\Run: [Windows Compliant] hjsxli.exe<--W32/Rbot-IR worm
http://castlecops.com/startuplist-5197.html
O4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exe <-- worm/trojan
http://castlecops.com/startuplist-6706.html
se réplique
O4 - HKLM\..\RunServices: [Windows Compliant] hjsxli.exe
O4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe

ton log n'est pas complet!! recommence

- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Guillaume · Answer

je me suis fait hacké c'est sur car la personne m'as parlé sur msn avant de le faire :xerf t'avais raison sur le fait qu'il etait incomplet :Logfile of HijackThis v1.99.1Scan saved at 10:01:51, on 28/02/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\WINDOWS\System32
vraidservice.exeC:\GuiGui\Winamp\winampa.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exeC:\GuiGui\ZoneAlarm\zlclient.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\GuiGui\Antivir\AVGNT.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\GuiGui\Antivir\AVGUARD.EXEC:\GuiGui\Antivir\AVWUPSRV.EXEC:\GuiGui\FTP Serveur Expert\G6FTPSERVER.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wbem\unsecapp.exeC:\GuiGui\World of Warcraft\WoW.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogole.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\GuiGui\adobe reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\GuiGui\SPYBOT~1\SDHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dllO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32
vraidservice.exeO4 - HKLM\..\Run: [Windows Compliant] hjsxli.exeO4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exeO4 - HKLM\..\Run: [WinampAgent] C:\GuiGui\Winamp\winampa.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorunO4 - HKLM\..\Run: [Zone Labs Client] "C:\GuiGui\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [AVGCtrl] C:\GuiGui\Antivir\AVGNT.EXE /minO4 - HKLM\..\RunServices: [Windows Compliant] hjsxli.exeO4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exeO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [Windows Compliant] hjsxli.exeO4 - HKCU\..\Run: [WIN USB 2.0] usbsystem.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Free Download Manager] C:\GuiGui\Free Download Manager\fdm.exe -autorunO4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\GuiGui\FTP Serveur Expert\G6FTPTray.exe"O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\GuiGui\adobe reader\Readereader_sl.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cabO16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cabO16 - DPF: {A6F32B5D-8516-4C50-8D69-FC578A57CC34} (Palmia PhotoEditor Main Class) - http://fr.wowlg.com/fr/photos/activex/PhotoEditor.cabO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\GuiGui\Antivir\AVGUARD.EXEO23 - Service: Apache2 - Unknown owner - C:\GuiGui\Apache\Apache2\bin\Apache.exe" -k runservice (file missing)O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\GuiGui\Antivir\AVWUPSRV.EXEO23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\GuiGui\FTP Serveur Expert\G6FTPSERVER.EXEO23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeje suis pas doué tu me dit si il est toujours incomplet :)

Utilisateur anonyme · Answer

je vois pas le fait qu'une personne te parlant sur MSN peut te bouffer le compte si tu ne télécharges rien de ce qu'elle t'envoie comme fichier ou image pourris ?? (filtre tes contacts, enlève les blaireaux qui se vantent d'être des pirateux change ton mot de passe)

tu as combien de correspondants sur MSN que tu connais personnellement ?

1) CTRL/ALT/SUPP : arrête ces processus
2) tu repasses sur le log et tu fixes

ce sont des worms connus qui ne s'envoient pas ni par mail ni par ni par ni par... un surf malencontreux avec un parefeu mal configuré

O4 - HKLM\..\Run: [Windows Compliant] hjsxli.exe <--3 fois
O4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exe <-- 3 fois
O4 - HKLM\..\RunServices: [Windows Compliant] hjsxli.exe
O4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe
O4 - HKCU\..\Run: [Windows Compliant] hjsxli.exe
O4 - HKCU\..\Run: [WIN USB 2.0] usbsystem.exe

(autant de fix que de fois le processus se réplique - attention!)

*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

fait quand même une recherche sur ces fichiers dans ta machine

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!! coche!!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case "Masquer les fichiers protégés du système d'exploitation" *

3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx].exe

5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Analyse d'un hijack apres un hack :/

3 réponses

Votre réponse

Discussions similaires

Newsletters