Sujet Précédent Sujet Suivant

MSDIRECTX - hacktool toolkit

Fermé
chrisness - 28 juin 2005 à 22:44
 Utilisateur anonyme - 13 juil. 2005 à 08:17
Bonsoir,

J'ai un ami qui "possède" malheureusement le virus "hacktool toolkit".
Son Norton Antivirus détecte un fichier infecté "MSDIRECTX" et dit qu'il ne peut supprimer le virus, mais le met en quarantaine.
Malheureusement, le virus semble revenir irrémédiablement...

Après avoir lu de nombreux messages concernant ce virus, je lui ai demandé (à mon ami, pas au virus ;-) de me fournir un log généré par HijackThis.

Etant loin d'être un expert dans la lecture de cette langue d'un autre âge, je sollicite l'aide d'un Champollion des temps modernes pour déchiffrer les mystères du texte sacré ci-dessous :

Logfile of HijackThis v1.99.1
Scan saved at 22:13:31, on 24/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\SCardClnt.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\Explorer.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\WINDOWS\System32\mcafee32.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jobzk.dll/sp.html#29620
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jobzk.dll/sp.html#29620
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://support.free.fr/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.free.fr:3128;ftp=proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F1 - win.ini: load=c:\01comm32\bin\01comm32.exe
F2 - REG:system.ini: Shell=Explorer.exe mcafee32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E374D485-455A-EA4B-4D0D-A9597EFAF27B} - C:\WINDOWS\d3wr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ja.exe
O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1060_XP.cab
O16 - DPF: {26D73573-F1B3-48C9-A989-E6CE071957A1} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1057_XP.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR_XP.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058_XP.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Network Security Service (NSS) (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINDOWS\system32\crra.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

Je vous remercie par avance, Ô grands traducteurs, de votre aide précieuse dans la croisade contre ce méchant virus
A voir également:

7 réponses

Réponse 1 / 7
PurpleStorm Messages postés 3260 Date d'inscription dimanche 4 juillet 2004 Statut Contributeur Dernière intervention 5 octobre 2014 857
28 juin 2005 à 22:58
Pour le supprimer, il faut scanner le PC avec Norton mais en mode sans echec (F8 au démmarrage du PC)


0
Réponse 2 / 7
chrisness
28 juin 2005 à 23:06
Merci beaucoup,

Je lui dirai demain.
Je lui avais déjà dit auparavant, mais il semble qu'il rencontre des difficultés à avoir la touche F8 avec son clavier (d'après ce que j'ai compris, la touche F8 n'est pas directe, il faut passer par une combinaison de touche...)

Heureusement, il possède un autre clavier avec la touche F8 directe...

Encore une fois merci
0
Réponse 3 / 7
PurpleStorm Messages postés 3260 Date d'inscription dimanche 4 juillet 2004 Statut Contributeur Dernière intervention 5 octobre 2014 857
28 juin 2005 à 23:08
;-)

0
Réponse 4 / 7
beez Messages postés 24 Date d'inscription samedi 5 février 2005 Statut Membre Dernière intervention 6 août 2005
28 juin 2005 à 23:27
Ya juste 2 trucs que je trouve bizarre dans ton log:
O23 - Service: Network Security Service (NSS) (O?’ŽrtñåȲ$Ó) - Unknown owner - C:\WINDOWS\system32\crra.exe (file missing)
Ca tu peux le selectionner dans hijackthis et cliquer sur Fix checked.

Et sur ca, j ai un gros doute, le nom de fichier n est pas le nom reglementaire:

O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
http://www.google.fr/search?hs=Pp1&hl=fr&client=firefox-a&rls=org.mozilla%3Afr%3Aofficial&biw=1272&q=csrs.exe&btnG=Rechercher&meta=
regardez ca, ca ne mene qu a des virus...
De plus il ne devrait pas se trouver a cet endroit...

Tu peux donc telecharger Killbox ici par exemple:
http://www.beez.ch/pages/reinstall.html#intrusion
tu l ouvre, tu fais copier-coller de:
C:\WINDOWS\System32\csrs.exe dans Killbox et tu cliques sur la croix blanche.
Vide la corbeille, reboot.
Et donnes des nouvelles!

@+

BeeZ

C:\WINDOWS\System32\csrs.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
bernie61
28 juin 2005 à 23:52
salut
en complément il faut aussi cocher FIX ces lignes:

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
et effacer le fichier msnq3insller.exe

vider la corbeille
a+
0
Réponse 6 / 7
Seb
13 juil. 2005 à 05:29
Bonjour,

J'ai malheureusment le meme probleme que Chrissness et le meme manque de connaissance pour dechiffrer les logs. J'ai deja supprime les 4 dernieres lignes qui faisait references a un fichier manquants avec un nom de fichier bizar.

O23 - Service: KRRKZK - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\KRRKZK.exe (file missing)
O23 - Service: OXTGHEAXKK - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OXTGHEAXKK.exe (file missing)
O23 - Service: RDY - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\RDY.exe (file missing)
O23 - Service: RYG - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\RYG.exe (file missing)
O23 - Service: VUIGGNMAHP - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\VUIGGNMAHP.exe (file missing)

Malheureusement, il est toujours la. Meme en safe mode norton ne parvient pas a le supprime.
Si vous avez la moindre idee supplementaire, je suis preneur.
Merci d'avance.

Ci-dessous mes logs:

Logfile of HijackThis v1.99.1
Scan saved at 23:43:07, on 2005-7-11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\Software\norton\DefWatch.exe
D:\Software\norton\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\xpjava.exe
D:\Software\Winamp\Winampa.exe
D:\Software\norton\vptray.exe
C:\Program Files\DownloadWare\dw.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\sysmon32.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\zh-cn\msnappau.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nsvsvc\nsvsvc.exe
C:\WINDOWS\System32\vidctrl\vidctrl.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Software\WinZip\WZQKPICK.EXE
C:\Program Files\se\v11\se.EXE
D:\Software\Dictionary\XDICT.EXE
C:\WINDOWS\Explorer.exe
G:\Hack remover\HijackThis.exe

R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Program Files\se\v11\se.DLL
F2 - REG:system.ini: Shell=Explorer.exe sysmon32.exe
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Software\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [vptray] D:\Software\norton\vptray.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Program Files\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Prein] C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\app3A.tmp
O4 - HKLM\..\Run: [Search-Exe] "C:\Program Files\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\zh-cn\msnappau.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eltupt] C:\WINDOWS\eltupt.exe
O4 - HKLM\..\Run: [Nsv] C:\WINDOWS\System32\nsvsvc\nsvsvc.exe
O4 - HKLM\..\Run: [vidctrl] C:\WINDOWS\System32\vidctrl\vidctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetcu32.exe
O4 - HKLM\..\Run: [KdB] c:\windows\temp\KdB.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Software\Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Software\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Software\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: ʹÓÃÍø¼Ê¿ì³µÏÂÔØ - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: ʹÓÃÍø¼Ê¿ì³µÏÂÔØÈ«²¿Á´½Ó - D:\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java ¿ØÖÆ̨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ׿Խ - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - D:\Software\DICTIO~1\IEPlugin.dll
O9 - Extra button: ½ðɽ´Ê°Ô - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - D:\Software\DICTIO~1\IEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Software\Tencent\QQ.exe
O9 - Extra 'Tools' menuitem: ÌÚѶQQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Software\Tencent\QQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{15197A0C-7ABC-4629-BC44-B82905A885E0}: NameServer = 192.168.1.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - D:\Software\norton\DefWatch.exe
O23 - Service: KRRKZK - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\KRRKZK.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Software\norton\Rtvscan.exe
O23 - Service: OXTGHEAXKK - Unknown owner - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\OXTGHEAXKK.exe (file missing)
O23 - Service: RDY - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\RDY.exe (file missing)
O23 - Service: RYG - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\RYG.exe (file missing)
O23 - Service: VUIGGNMAHP - Unknown owner - C:\DOCUME~1\LINWEI~1\LOCALS~1\Temp\VUIGGNMAHP.exe (file missing)
0
Réponse 7 / 7
Utilisateur anonyme
13 juil. 2005 à 08:17
Bonjour seb,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt

PS: pour supprimer une 023, il faut la fixer+ arreter le service
0

Discussions similaires

Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
virus hacktool win32 autokms
pasterma -
fabul -

26 réponses
Hacktool:win32 AutoKMS bien supprimé ?
Rednalas -
Malekal_morte- -

12 réponses
toolkit
topgun35000 -
topgun35000 -

2 réponses