Sujet Précédent Sujet Suivant

Cours particuliers HijackThis, svp ?

Fermé
Utilisateur anonyme - 10 sept. 2005 à 10:39
 Utilisateur anonyme - 15 oct. 2005 à 10:14
Hello !

Je me permets ici de créer ma-boîte-à-questions-bêtes-théoriques-de-base-pour-interpréter-les-logs-de-HijackThis (gnarf gnarf gnarf)

J'ai un tutorial d'interpétation (sur zebulon.fr) et je surfe déjà discrètement sur les différents posts pour me faire une idée, grâce aux interventions des cracks du forum Virus/Sécurité qui s'activent à nous aider sur leur temps, et qui ont réussi à éveiller ma curiosité sur le sujet et me refiler le virus d'entraide, ils se reconnaîtront ;-)
Ma demande de formation interactive vient donc en complément de çà, pour quelques questions générales théoriques qui peuvent me venir au fil des lectures.

!!! Je suis partageuse !!! --->>> je ne m'offusquerai donc pas que d'autres forumers profitent de mon post pour poser leurs-questions-bêtes-made-in-chez-eux :-)

EN REVANCHE ! Pour résoudre les infections et attaques ciblées réelles, vaut mieux créer votre post à part - vivement conseillé - sinon ça complique la tâche des intervenants, car chaque cas est particulier ! Merci de comprendre...

J'espère que les modérateurs ET ceux qui me connaissent un peu (pour m'avoir déjà aidée sur CCM) ne m'en voudront pas pour cette initiative sans les avoir au préalable consultés. Mais je suis tombée du lit ce matin avec çà dans la tête, et quand j'ai une id dans la tête je l'ai pas au....... Bref ! Je ne vais pas recommencer à raconter ma vie, je sais m'arrêter... des fois... (Meuh oui Madame ! Farpètement...)

De toute façon, m'aidera qui peut, quand il peut, s'il le veut surtout :-) (c'est dit sans hypocrisie)

En tout cas, merci d'avance à ceux qui auront le temps de partager leur savoir, je sais qu'ils n'en sont pas avares sur le forum :-)


J'ouvre le bal des questions (j'avais prévenu qu'elles étaient bêtes) :

** quelles lignes vous regardez en priorité dans un log pour repérer un problème ?

** quand on voit une ligne 09 où il est précisé "(file missing)" à la fin, peut-on la fixer sans danger si on est certain qu'on a effectivement supprimé le bouton en question de la barre d'outils IE ? Et s'il apparaît dans Hijack n'est-ce pas parce qu'il y a une histoire de désinstall/désactivation incomplète de la fonction ?

** pourquoi des fois faut un mode sans échec pour faire un scan Hijack, et des fois pas ? Ou alors j'ai mal lu...


Merci !
Bubye !

190 réponses

Précédent
Réponse 161 / 190
Utilisateur anonyme
27 sept. 2005 à 17:47
mdr, et je suis sur qu'elle y prend un malin plaisir à en remettre une couche à chaque fois..
0
Réponse 162 / 190
Utilisateur anonyme
27 sept. 2005 à 17:47
Gerard t inkiete pas j ai le droit au cours de francais aussi avec Lili lol

C est une excellente prof lol
0
Réponse 163 / 190
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
27 sept. 2005 à 17:54
sa c est sur cela transparait dans ces posts
0
Réponse 164 / 190
Utilisateur anonyme
27 sept. 2005 à 19:59
Pfeu !

Mais pourquoi est-elle si méchante ?...
Passkeuuuuuuuu :-)

Je ne suis pas une ingrate !
Vous êtes assez intelligents (voui) pour savoir que je ne suis pas sadique avec vous (quoique...)
Mais j'aurais l'air de quoi à dire sans détours que je vous adooooore ???
----->> D'une greluche groopie de flegmatiques kraks info, pouah... berk :-)

Grosses bises de joues à tous les trois même si vous êtes pas d'accord, je file avant la volée de bois vert lol
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 165 / 190
Utilisateur anonyme
27 sept. 2005 à 20:03
JE T ADORE

---->je file faire de l anglais,

A tte
0
Réponse 166 / 190
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
27 sept. 2005 à 20:15
bisous la miss
et quentin tu t est mis a l anglais
0
Réponse 167 / 190
Utilisateur anonyme
27 sept. 2005 à 20:34
eh oui, j ai jamais arreter lol
0
Réponse 168 / 190
Utilisateur anonyme
6 oct. 2005 à 17:50
Hello,

Alors ça y est enfin, j'ai fait l'entraînement proposé par môssieur Balltrap.
Désolée d'avoir autant reporté, j'ai manqué de disponibilité, mais dès que je pouvais, côté préparation j'ai pas chômé.

Avec vos différentes méthodes et les tutos que certains m'ont donnés, je pense avoir assimilé les principes d'analyse de log. J'ai un peu fait griller mon neurone et demi pour me rédiger une synthèse de vos canned speeches.
En revanche, comme j'ai jamais eu de malware récalcitrant (précautions élémentaires + AV/FW ont tjrs suffi), j'ai jamais eu à me faire la main sur certains logiciels que vous faites employer. En plus, on dirait que chacun a ses préférences d'outils pour éradiquer les malwares. Y'aurait les amateurs de boîte de vitesses "mécanique" ou "automatique" lol
Donc comme c'est la pratique et surtout les erreurs qui m'amènent à maîtriser les interfaces logicielles, si y'en a un qui me dit "telle fonction d'outil ne marche pô chez moi pour tel fichier", je crains que ma belle théorie ne vacille lol. De toute façon je ferai appel à quelqu'un au moindre contre-temps, c'est plus sûr...
Hin ? Les gars ? Hin ? Non ? Dites oui ? Hin ? 'Croyez pas ? :-)
Ce n'est pas que j'appréhende... Quoique... lol
(à ce propos, je n'ai jamais réussi à activer A², car j'essaie en vain de me faire envoyer le mail de confirmation du nouveau compte... quoi faire ?)

Je ne sais pas trop si en ce moment "les trois gribouilleurs" sont dans les parages du forum, ou occupés au taf et sur les routes (bon courage à vous si c'est le cas), mais quand vous aurez le temps de me lire, vous me direz ce qui est incomplet, manquant ou faux.
(au fait, c'est qui Gérard ? Moe ou Balltrap ?)
En tout cas... Moe m'a fait flipper pour pas grand chose avec ses airs de connivence avec môssieur Balltrap (méchante vilaine saleté vous-même !), parce qu'on dirait qu'il n'est pas si galère que çà ce log test (une fois qu'on a fini de pondre une méthode lol)... ou alors j'ai sa!-cré!-ment! loupé un morceau lol
Si j'avais su, me serais pas laissé impressionner, j'aurais commencé l'analyse plus tôt, me suis fait eue ;-p

Juste avant de vous montrer ma méthode, je vous ai indiqué comment j'ai procédé, repérage des lignes que je ferais fixer, les outils que je ferais utiliser en complément de HijackThis. Si j'ai procédé pas-à-pas comme pour un blème de maths, c'est pour que vous situiez mieux mes failles de raisonnement au besoin.
Oh, vous pourrez vous moquer de ma discipline scolaire, hin, mais gentiment ! Le premier qu'est trop méchant, je le cyber-élague :-)

Pour indic', j'ai mis 30 bonnes minutes rien que pour rechercher la légitimité de certains processus actifs et correspondances avec 04 et/ou 023 ! Après, les 02-BHO c'est pénible à faire le tri... au bout d'un moment j'ai arrêté de chronométrer lol (non, elle ne râle pas déjà, elle constate !)
Pffff je suis loin des 10 minutes par log entier... et j'ai même pas honte lol


Ce préambule fait, je fais rappel du log test.



================================================================

Bonjour à tous, moi aussi je suis infecté, j'ai des pages "only the best" qui s'ouvre et des liens qui se rajoute dans mes favoris.
J'ai passé adaware, spybot, un antivirus(norton internet sécurity) et rien a faire...
je joint le log hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11:04:54, on 25/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\SMSC\Seticon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\mfcah32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\sdkfo32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jeje\Mes documents\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8EB48E63-2152-F316-A524-2B06602A4260} - C:\WINDOWS\sdkoc32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [mfcah32.exe] C:\WINDOWS\mfcah32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkfo32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

=================================================================





Euh un dernier kruk... vous verrez que j'ai pas pu m'empêcher d'insérer des questions bêtes (tant que j'y pensais). Merci de ne pas lire en diagonale, vous risquez de passer à côté et faute de confirmation de votre part, je vais prendre des erreurs pour bonnes... Et encore ! Regis59 m'a déjà aidée pour certaines (le pov'), donc j'ai pas mal réduit la quantité lol
Des fois je n'ai qu'une intuition de la réponse mais vous seriez gentils de me la confirmer plutôt deux fois qu'une, j'aime bien être sûre, encore merci d'avance.



¤¤ Il n'a pas les dernières versions XP et IE (sons système est très vulnérable aux failles de sécurité, nan ?)
-> vais lui conseiller de faire les mises à jour sur http://v6.windowsupdate.microsoft.com/
Q: quand quelqu'un a XP et IE 6 seulement (et dans l'hypothèse où sa licence est ok, bien sûr), peut-il mettre à jour vers XP SP2 et IE 6 SP2, comme çà, par simple téléchargement de màj ? Sinon, jusqu'à quelles versions peut-il au mieux mettre à jour ? C'est pour savoir à quel point je dois insister pour qu'il mette à jour, les gens ont toujours peur d'avoir à payer un supplément de licence lol

¤¤ Il a bien AV+FW (Norton)
Q: est-ce nécessaire de les faire mettre à jour avant d'appliquer la marche à suivre, ou alors il suffit de lui conseiller de le faire à la fin ?

¤¤ HijackThis est bien rangé hors Temp, sur C:\



Bon... les vérif' élémentaires, c fait lol
--->>>> Vérification du log maintenant ! Surtout les processus actifs, orthographe + chemin d'emplacement + correspondances en 04 et/ou 023...



¤¤CWS en R0 et R1 avec dsvbz.dll/sp.html/#nnnnn
-> je tente d'abord de faire fixer avec HijackThis en sans échec, puis c'est là qu'après je sais pas quoi choisir : a priori je vais utiliser About Buster, mais y'a aussi le choix entre DLLFix et SpHjFix (Vaut mieux utiliser lequel ?)
Q: faut-il faire supprimer la .dll devant, ou alors Hijack et les 3 outils cités s'en chargent d'office ?
Q: HijackThis est conseillé en mode sans échec par ipl_001 sur PCastuces (génial ce tuto), mais pensez-vous que ce soit le plus souvent une précaution inutile ? Pour quels cas, à coup sûr, le mode normal suffit ? Je sais qu'on en a parlé Moe et Balltrap au début du post, mais là, PCastuces m'a embrouillée lol

¤¤R3 - Default URLSearchHook is missing
-> à supprimer avec HijackThis.



¤¤C:\Program Files\Messenger\msmsgs.exe
¤¤O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
-> pour moi c ok car bon chemin, et bon [Name]+Filename retrouvés en 04.
Q: mais quel est le sens de "/background" ?

¤¤C:\WINDOWS\mfcah32.exe
¤¤O4 - HKLM\..\Run: [mfcah32.exe] C:\WINDOWS\mfcah32.exe
-> MFC**32.exe trouvé sur CastleCops = adware CWS/HomeSearch ---->>> pop up Only The Best.
-> fixer par HijackThis et supprimer l'exe.
Q: je crois comprendre que c'est la cause des URL CWS en R0 et R1 (nan ??). Si c'est le cas, About Buster prescrit plus haut pour R0 et R1 ne sert qu'à supprimer les causes apparentes (URL) du malware ou alors ça s'occupe aussi du MFC**32.exe ? lol c'est clair comme question ?-->> Concrètement, c'est le fix par HijackThis ou par About Buster qui vient à bout de CWS/HomeSearch - Only The Best ? Faut les deux prog obligatoirement et consécutivement ou un seul suffit ??? lol

¤¤C:\WINDOWS\sdkfo32.exe
¤¤O2 - BHO: Class - {8EB48E63-2152-F316-A524-2B06602A4260} - C:\WINDOWS\sdkoc32.dll
¤¤O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkfo32.exe
-> Malware SDK**32.DLL d'après recherche par CLSID sur CastleCops.
-> Il faudra que je fasse arrêter le service avant de le faire supprimer.
-> fixer par HijackThis et supprimer l'exe.



¤¤O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
-> classé malware sur CastleCops. Supprimer avec HijackThis et/ou (?) SmitfraudFix de S!Ri + supprimer l'exe.






(Puis voilà le travail...)

...d'abord, je dis bonjour lol...



Procédure à suivre dans l'ordre...
Imprime ou enregistre cette marche à suivre en fichier .txt pour etre sûr(e) de tout faire dans l'ordre sans rien oublier.

***********************************************************************************************
Tes versions XP et IE ne sont pas à jour, ton système est vulnérable aux failles de sécurité Windows.

Dans ton intérêt et avant toute autre manip', va mettre à jour sur ce lien : http://v6.windowsupdate.microsoft.com/

Les versions les plus récentes sont WindowsXP SP2, et Internet Explorer 6 SP2.
Si possible, essaie au moins de mettre à jour vers WindowsXP SP1.

Il se peut que tu doives redémarrer pour achever l'install des mises à jour.


***********************************************************************************************
Télécharge ces logiciels et fais les mises à jour nécessaires.
Garde-les sous le coude, on les utilisera en temps utile...

¤Comme visiblement tu as déjà Ad-Aware et Spybot, assure-toi d'avoir les dernières versions :
- Ad-Aware SE 1.06 (dernière version gratuite) sur ce lien : http://www.lavasoftusa.com/software/adaware/
- Spybot Search & Destroy 1.4 (dernière version gratuite) sur ce lien : http://www.safer-networking.org/fr/index.html

¤Impératif de t'assurer d'avoir les dernières mises à jour pour Spybot et Ad-Aware.

¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
(=> démo animée : http://pageperso.aol.fr/balltrap34/democleanup.htm)

¤Télécharger About Buster sur ce lien : http://www.majorgeeks.com/download4289.html
- Clique "Check for updates".
- Faire la mise à jour.
- Ferme le programme, on l‘utilisera plus tard...

¤Télécharger SmitFraudFix 1.86 (par S!Ri) sur ce lien : http://siri.urz.free.fr/Fix/SmitfraudFix.zip
- Dézippe/Enregistre les fichiers dans un dossier.
- Lance le logiciel en double-cliquant sur SmitfraudFix.cmd
- Choisis Option 1 (recherche), qui va générer un rapport.
- Copie/colle ce rapport ici sur ton post au forum.


***********************************************************************************************
Balltrap, tu as le log SmitFraudFix de ce cas ?
Bref, j'ai considéré que là (--->>>> lààààà !!!) il a posté son log SmitFraudFix qui a évidemment repéré au moins SpySheriff !
Je continue le raisonnement lol


***********************************************************************************************
¤Redémarre en mode "sans échec" :
- Dès le début de l’allumage du pc (à partir de l'écran noir et avant l'écran de chargement de windows), tapote régulièrement sur la touche F8 de ton clavier (si F8 ne marche pas, utilise F5).
- Dans l'écran de choix, déplace-toi avec la flèche du clavier jusqu'à l'option "démarrer en mode sans échec" puis tape sur la touche clavier Entrée.
(Au démarrage l'affichage de ton bureau est différent, c'est normal en mode "sans échec")

¤Rendre visibles les fichiers cachés et système en allant dans Panneau de configuration > Options des dossiers > onglet "Affichage" :
- Cocher la case "afficher les fichiers et dossiers cachés".
- Décocher la case "masquer les extentions des fichiers dont le type est connu".
- Décocher la case "masquer les fichiers protégés du système".
- Cliquer sur [Appliquer] puis valider par [OK].

¤ Vider le cache de tous tes navigateurs et supprimer les cookies :
- Pour Internet Explorer, aller dans Panneau de configuration > Options internet > onglet "Général".
- Cliquer sur [supprimer les cookies].
- Cliquer sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion".
- Valider avec OK.


***********************************************************************************************
(LES PROFS !!!! Là, je sais qu'il faut le faire faire, mais je ne suis pas sûre de savoir pourquoi... Mais dites-moi si j'ai tort : c'est parce que pour fixer un service en 023, il faut d'abord arrêter le processus ?)

¤Dans le menu Demarrer>Executer >taper : Services.msc
- Recherche le service avec cette orthographe exacte : Remote Procedure Call
- Double-clique dessus.
- Cliquer sur [arrêter].
- Puis dans "Type de demarrage" sélectionner "désactivé".
- Valider.


***********************************************************************************************
Relancer HijackThis.

¤Clique sur [do a system scan only].

¤Coche chaque case devant les lignes suivantes :
(En fonction des logs HijackThis et SmitfraudFix, supposons que ça donne au moins çà...)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dsvbz.dll/sp.html#12047
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {8EB48E63-2152-F316-A524-2B06602A4260} - C:\WINDOWS\sdkoc32.dll

O4 - HKLM\..\Run: [mfcah32.exe] C:\WINDOWS\mfcah32.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkfo32.exe


¤Valide les suppressions en cliquant sur [fix checked].

¤Quitter l'application.


***********************************************************************************************
Relancer SmitFraudFix.
Cette fois, choisis Option 2, puis réponds "oui" a tout pour accepter le "nettoyage".


***********************************************************************************************
Supprimer les fichiers infectés listés ci-après par leurs chemins d'emplacements.

Il faut les rechercher pas-à-pas, soit en ouvrant dossier après dossier, soit par Windows Explorer (il faut éviter de les localiser par la fonction Rechercher, risques d'erreurs de chemin).
Attention à ne pas supprimer des fichiers sains au nom similaire, l'orthographe doit être parfaitement exacte à celle des fichiers listés !
Attention à ne pas supprimer un fichier sain s'épelant exactement pareil, mais qui n'est pas placé exactement dans le chemin d'emplacement listé !
Attention à ne supprimer que le fichier, et non les dossiers le contenant !

Si tu les trouves, supprime les fichiers suivants :
(...là j'indiquerais tous les fichiers louches détectés et listés sur le log SmitfraudFix et selon log HijackThis... nan ???)

C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\mfcah32.exe
C:\WINDOWS\sdkfo32.exe

(SmitfraudFix en avait trouvé d'autres ?)

***********************************************************************************************
Puis, très important, il faut supprimer les fichiers temporaires... manuellement, ou automatiquement, au choix...

Manuellement...
¤vider tout le contenu des dossiers Temp, dans :
- C:\Documents and Settings\[ton compte utilisateur]\Local Settings\Temp
- C:\Documents and Settings\[tous les autres comptes utilisateur]\Local Settings\Temp
- C:\Windows\Temp
¤Vider le contenu du dossier Prefetch dans :
- C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
¤Vider la Corbeille.

OU

Automatiquement...
- Lancer Cleanup40.
- Attendre fin du scan pour fermer l'application.
- Redémarrer le pc à l'invite.


***********************************************************************************************
Passe About Buster plusieurs fois successivement, jusqu'à ce qu'il ne trouve plus rien à supprimer.


***********************************************************************************************
¤Passe respectivement Ad-Aware puis Spybot et supprime tout ce qu'ils vont trouver.
¤N'oublie pas de vider les quarantaines.


***********************************************************************************************
Redemarre en mode normal.
Ajoute un nouveau rapport HijackThis sur le forum.


***********************************************************************************************
¤Rendre à nouveau invisibles les fichiers cachés et système en allant dans Panneau de configuration > Options des dossiers > onglet "Affichage" :
- Décocher la case "afficher les fichiers et dossiers cachés".
- Cocher la case "masquer les extentions des fichiers dont le type est connu".
- Cocher la case "masquer les fichiers protégés du système".
- Cliquer sur [Appliquer] puis valider par [OK].

(Dites les profs... Pourquoi vous invitez à les recacher ? Pour éviter les mauvaises manip' ou pour éviter les prises de contrôle à distance ou infections ? Question perso vu que moi je préfère les avoir toujours visibles)


***********************************************************************************************
(et au cas où il se plaindrait d'avoir perdu son affichage... j'ajouterais...)

Aller dans Démarrer > Panneau de configuration > Affichage > onglet Bureau :
- Clique sur Personnalisation du bureau.
- Sélectionne l'onglet Web.
- Supprime tout ce qui se trouve sous "Pages Web:", SAUF "Ma page d'accueil" qui doit rester décochée.
- Vérifie que ta fenêtre ressemble maintenant cette image sur http://get.yourfile.net/ie52977.gif
- Valide OK.

Maintenant tu peux remettre un fond d'écran de ton choix.


***********************************************************************************************


Verdict sur l'accouchement ? Soit j'en ai oublié, soit j'en ai trop mis...
Mais purééééééeeeee... chi contente de moi (lol) parce que je viens de comprendre en quoi c'est du puuuuuuuuur mécanisme logique !

J'ai un doute... c'était nécessaire de fixer en sans échec avec HijachThis ou alors SmitFraudFix en Option 2 ça aurait suffi pour tout fixer ?

Au fait, dans vos posts, pourquoi vous ne faites pas fixer les lignes R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank ? Ca sert à rien de le faire ?

Enfin, faut-il faire faire un scan antivirus à la fin ? Avec son antivirus habituel ou un online scan ? Je materne trop pitêt lol


Merci et à plus tard... tap' dans l'dos les 'tits gars :-)

0
Réponse 169 / 190
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
6 oct. 2005 à 19:01
je te repond dans mon style lol

les mises a jour il vaut mieux les faire pour etre a niveaux


un anti virus doit imperativement etre a jour mais tu lui dit a la fin et comme cela il peut scanner son pc si necessaire


¤¤ HijackThis est bien rangé hors Temp, sur C:\ oui

¤¤CWS en R0 et R1 avec dsvbz.dll/sp.html/#nnnnn
-> je tente d'abord de faire fixer avec HijackThis en sans échec, puis c'est là qu'après je sais pas quoi choisir : a priori je vais utiliser About Buster, mais y'a aussi le choix entre DLLFix et SpHjFix (Vaut mieux utiliser lequel ?)
Q: faut-il faire supprimer la .dll devant, ou alors Hijack et les 3 outils cités s'en chargent d'office ?
Q: HijackThis est conseillé en mode sans échec par ipl_001 sur PCastuces (génial ce tuto), mais pensez-vous que ce soit le plus souvent une précaution inutile ? Pour quels cas, à coup sûr, le mode normal suffit ? Je sais qu'on en a parlé Moe et Balltrap au début du post, mais là, PCastuces m'a embrouillée lol

le mieux c est about buster mais pour le moment la mise a jour est hs donc utiliser sphfix
perso je met a rechercher et virer la dll et sp.html/#nnnnn si il trouve(deux precaution vale mieux qu une)

hijack en mode normal sinon certaine ligne n apparaisse pas en sans echec

¤¤R3 - Default URLSearchHook is missing
-> à supprimer avec HijackThis.
oui

¤¤C:\Program Files\Messenger\msmsgs.exe
¤¤O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
-> pour moi c ok car bon chemin, et bon [Name]+Filename retrouvés en 04.
oui

¤¤C:\WINDOWS\mfcah32.exe
¤¤O4 - HKLM\..\Run: [mfcah32.exe] C:\WINDOWS\mfcah32.exe
-> MFC**32.exe trouvé sur CastleCops = adware CWS/HomeSearch ---->>> pop up Only The Best.
-> fixer par HijackThis et supprimer l'exe.
Q: je crois comprendre que c'est la cause des URL CWS en R0 et R1 (nan ??). Si c'est le cas, About Buster prescrit plus haut pour R0 et R1 ne sert qu'à supprimer les causes apparentes (URL) du malware ou alors ça s'occupe aussi du MFC**32.exe ? lol c'est clair comme question ?-->> Concrètement, c'est le fix par HijackThis ou par About Buster qui vient à bout de CWS/HomeSearch - Only The Best ? Faut les deux prog obligatoirement et consécutivement ou un seul suffit ??? lol

about buster s occupe de virer ces fichiers mfcah32.exe et le passer j usqu a qu il ne trouve plus rien
fixer les ligne avec hijack imperatif

¤¤C:\WINDOWS\sdkfo32.exe
¤¤O2 - BHO: Class - {8EB48E63-2152-F316-A524-2B06602A4260} - C:\WINDOWS\sdkoc32.dll
¤¤O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkfo32.exe
-> Malware SDK**32.DLL d'après recherche par CLSID sur CastleCops.
-> Il faudra que je fasse arrêter le service avant de le faire supprimer.
-> fixer par HijackThis et supprimer l'exe.

oui c est se service qui recrerr les fichiers que vire about buster


¤¤O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
-> classé malware sur CastleCops. Supprimer avec HijackThis et/ou (?) SmitfraudFix de S!Ri + supprimer l'exe.

en principe le fix vire l exe

tu peut mettre aussi les demos pour spybot et adaware

Balltrap, tu as le log SmitFraudFix de ce cas ?
Bref, j'ai considéré que là (--->>>> lààààà !!!) il a posté son log SmitFraudFix qui a évidemment repéré au moins SpySheriff !
Je continue le raisonnement lol
lol je le retrouve pas mais on vas dire que c est bon


(LES PROFS !!!! Là, je sais qu'il faut le faire faire, mais je ne suis pas sûre de savoir pourquoi... Mais dites-moi si j'ai tort : c'est parce que pour fixer un service en 023, il faut d'abord arrêter le processus ?)

¤Dans le menu Demarrer>Executer >taper : Services.msc
- Recherche le service avec cette orthographe exacte : Remote Procedure Call je rajoute ceci 11Fßä#·ºÄÖ`I
- Double-clique dessus.
- Cliquer sur [arrêter].
- Puis dans "Type de demarrage" sélectionner "désactivé".
- Valider. oui


Supprimer les fichiers infectés listés ci-après par leurs chemins d'emplacements.
ceci je le fait faire en mode sans echec et aussi l option 2 de smitfraud



0
Réponse 170 / 190
Utilisateur anonyme
6 oct. 2005 à 21:22
salut lili, balltrap

bah, pas grand chose à rajouter

à part le lien pour windows update, celui que tu as mis, ne mene nulle part.
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr

Pour les dll des lignes R1 et R0 du log, quelques fois elle peuvent changer de nom après le redemarrage en mode sans echec.
pour la manip qui consiste à recacher les fichiers, perso je ne fais recacher que les fichiers systeme, les autres pouvant rester visibles ainsi que les extentions des fichiers.

a+
0
Réponse 171 / 190
Utilisateur anonyme
7 oct. 2005 à 19:13
Yeah Moe et Balltrap !

Merci d'avoir été si rapides pour les corrections et précisions, j'apprécie :-)


Balltrap>> tu peut mettre aussi les demos pour spybot et adaware
lol c'est mis dans mon canned speech, mais j'ai adapté le discours à ce cas, qui précisait avoit déjà ces deux progs (c'est pourquoi j'ai juste demandé de vérifier qu'il avait les

dernières versions et fait les màj).

Balltrap>> ¤Dans le menu Demarrer>Executer >taper : Services.msc
Balltrap>> - Recherche le service avec cette orthographe exacte : Remote Procedure Call je rajoute ceci 11Fßä#·ºÄÖ`I
lol tu le rajoutes pourquoi ? Fais une phrase steuplé m'sieur lol ... Je te promets je suis mignonne en demandant, c'est pas pour t'embêter ni pour être vilaine !
C'est au cas où on ne retrouve que "11Fßä#·ºÄÖ`I" de listé à la place de "Remote Procedure Call (RPC) Helper" dans Services.msc ? Ou alors vérifier la présence des deux ?

Balltrap>> le mieux c est about buster mais pour le moment la mise a jour est hs donc utiliser sphfix
Balltrap>> perso je met a rechercher et virer la dll et sp.html/#nnnnn si il trouve(deux precaution vale mieux qu une)
Du coup j'ai prévu au speech de faire supprimer la présence de cette dll si AboutBuster ou SpHjFix ne l'ont pas déjà supprimée.

Balltrap, tu as le log SmitFraudFix de ce cas ?
Balltrap>>lol je le retrouve pas mais on vas dire que c est bon
lol bouuuuh... shame on you mister prof :-)

Balltrap>> Supprimer les fichiers infectés listés ci-après par leurs chemins d'emplacements.
Balltrap>> ceci je le fait faire en mode sans echec et aussi l option 2 de smitfraud
Oui bah c'est ce kesske j'ai fait ! Mon canned speech prévoit de supprimer le dossier SpySheriff en plus du fichiers exe, aucazoù. A adapter à d'autres cas de baddies j'imagine.

Moe>> Pour les dll des lignes R1 et R0 du log, quelques fois elle peuvent changer de nom après le redemarrage en mode sans echec.
Donc à surveiller l'évolution à chaque fix pour être sûre : HjT, AboutBuster, ou SmitfraudFix (surtout au redémarrage mode normal pour finaliser).

Moe>> bah, pas grand chose à rajouter
Cherche ! lol

Moe>> à part le lien pour windows update, celui que tu as mis, ne mene nulle part.
Oui merci, j'ai pris une source dépassée alors que j'ai le bon lien dans mes favoris ! Stupida !



Encore Bravo pour votre patient sens pédagogue, des bisous sonores sur les joues !

On recommence quand ??? Pas les léchouilles, l'entraînement, que diantre ! lol
Pas ce week end, hin... Mais certaines soirées dans la semaine je ferai de mon mieux si vous êtes là, je me doute qu'on est plusieurs à pas s'ennuyer au point de ne faire que

du log à n'importe quelle heure de la journée. On improvisera comme d'hab, selon les priorités :-)

Bon début de week end tout le monde !
0
Réponse 172 / 190
Utilisateur anonyme
7 oct. 2005 à 20:25
salut lili 

Moe>> bah, pas grand chose à rajouter 
Cherche ! lol

nannn! mais balltrap avais déjà répondu à toutes tes questions.
allez en cherchant un peu... on va bien trouver une bricole (tu l'auras voulu lol) 

Moe>> Pour les dll des lignes R1 et R0 du log, quelques fois elle peuvent changer de nom après le redemarrage en mode sans echec. 
Donc à surveiller l'évolution à chaque fix pour être sûre : HjT, AboutBuster, ou SmitfraudFix (surtout au redémarrage mode normal pour finaliser).

perso, en general je met un petit laius du genre:
Il se peut, après avoir redémarrer en mode sans echec, que le nom du fichier des lignes R0, R1 ait changé de nom, dans ce cas note son nouveau nom pour pouvoir le supprimer apres avoir fait les fix avec hijack.

Avec se type d'infection, il y a aussi la présence d'ADS à vérifier,
http://assiste.free.fr/p/internet_attaques/ads_alternate_data_stream.php
http://docxp.mvps.org/NTFS-ADS.htm
normallement, si tu fais faire un scan av de verif apres les manips , il les detecteras:
en general, ca se presente comme ca dans un rapport av:
C:\WINDOWS\KB886185.log->ADS:qkwnvp -TrojanDownloader:Win32/WinShow.AK
ou
C:\WINDOWS\KB886185.log->$DATA :qkwnvp -TrojanDownloader:Win32/WinShow.AK

seulement, probleme si l'av ne repare pas, comme il vient se greffer à un fichier sain, pas facile à supprimer.
un outil fournis avec hijackthis, peu supprimer l'ads sans supprimer le fichier sain.
mais vraiment à utiliser que si l'av ne peut pas supprimer et si on sait se que l'on fait.

bah, tu l'auras cherché lol
M'enfin...

bises

a+++++
0
Réponse 173 / 190
Utilisateur anonyme
7 oct. 2005 à 21:52
Tu vois, quand tu veux bien chercher... BLAM !!!

Même pas mal, j'en redemande !!! PPfffffffffffffrrrrrrrrrrttt ---------->> ;-p

Merci pour les tuyaux et des bises aussi Moe !
0
Réponse 174 / 190
Utilisateur anonyme
7 oct. 2005 à 22:00
salut lili

je laisse le soin à balltrap, de te trouver un nouvel hijack à analyser.
Je vais essayer de mon coté de trouver quelques hijacks un peu plus recalcitrants, histoire de pouvoir voir les evolutions des logs apres manips.

bon week-end

a++
0
Réponse 175 / 190
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
8 oct. 2005 à 22:19
salut vous
pas le temp en ce moment lol et je ne pourait pas suivre
0
Réponse 176 / 190
Utilisateur anonyme
9 oct. 2005 à 13:28
salut lili

Chose promise, chose due...

Voilà un hijack à analyser, à première vue il ne semble pas trop compliqué.
Il s'agit d'une infection bien particulière, et la manip l'est aussi.
L'utilisateur, donne beaucoups de détails interressants, cet hijack est plus pour tester ta facon de faire des recherches et d'adapter la manip la plus approprié en fonction du résultat des recherches. 


Salutation, 

Je recherche de l'aide pour arriver à supprimer le programme C:/WINDOWS/windows.dat qui semble t'il (au vu des autres messages déjà lu sur ce forum) à causer des déficiences idem aux miennes. Je le suppose, je n'en suis pas vraiment certain. 

Problèmes avec la page de démarrage "about:blank" , qui depuis une semaine ouvre ensuite une page "martfinder.com", et qqs pop-ups dérangeants pour assaisonner le tout. 

Systeme : windows XP 

J'ai déjà utiliser et scanner sans réussite à l'aide de : 

Hijackthis 
ad-aware 
spybot 
bitdefender 
cleanup 
cwshredder 

voici mon log : 

Logfile of HijackThis v1.99.1 
Scan saved at 17:45:05, on 16/05/2005 
Platform: Windows XP (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe 
C:\WINDOWS\System32\nvsvc32.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\ZoneLabs\vsmon.exe 
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe 
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe 
C:\WINDOWS\System32\wuauclt.exe 
C:\Program Files\Antipub\antipub.exe 
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Documents and Settings\xxxx\Mes documents\Logiciel\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll 
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab 
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.112.238.45/activex/AxisCamControl.ocx 
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20French.cab 
O19 - User stylesheet: C:\WINDOWS\windows.dat 
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe 
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe 
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe 
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe 
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe 


Je n'arrive pas à virer donc windows.dat, il reviens à chaque fois, je pense qu'un autre programme le relance, mais je ne le trouve pas. 

J'ai virer les fichiers temp, et fixer sous mode sans echec pour l'instant.


a+
0
Réponse 177 / 190
Utilisateur anonyme
10 oct. 2005 à 13:28
Hello à tous !

Z'allez bien les 3 'tits gars ? Le week end a été agréable et en plaisante compagnie ? :-)


Purééééééééeeeeee...le dealer de log...
Eclats de rires... Moe, quand tu présentes les choses comme çà, on a l'impression que tu veux me piéger... me cherche pas !
Mais merci d'avoir pensé à moi, on va voir si je suis à la hauteur ;-)


Premier bilan sur le log :

¤ Windows XP
¤ Internet Explorer v6.00 SP1
>>> Faire mettre à jour sur Wupdate.


¤ C:\Documents and Settings\xxxx\Mes documents\Logiciel\HijackThis.exe
>>> chemin Okay. Quoique --->> xxxx c'est pas un malware ?! NAAAANNNN ! J'rigooooooleeeuuuuuh ! Rhoooooo...

¤ AV présents : BitDefender Free Edition
¤ FW présent : ZoneLabs



¤ Pas de 04 ??!!!!!
Q: Au fait, si ça a un rapport, comment savoir si un log a bien été fait en mode normal ? msconfig + av a reactiver
Q: Pourquoi je ne trouve pas de traces visibles en R0/R1/R2/R3 des pages "about:blank" puis "martfinder.com" dont il parle ?
Q: Comment je vérifie la légitimité des processus actifs ?!!!!


¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE
¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE
¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE
>>> Fichier et chemin sont a priori bons...
Q: Mais comment vérifier légitimité sans les 04 ?!!!!
Q: Pourquoi 3 lignes identiques ? Faut-il en supprimer pour n'en laisser qu'un ?
Q: Il y a tellement de possibilités de trojans ou worms avec IEXPLORE.EXE... la casse écriture compte-t'elle dans l'identification d'un baddie, en dehors des indications du chemin et du nom du processus ? => La même question plus simple : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" revient-il au même que "C:\Program Files\Internet Explorer\iexplore.exe" ?


¤ O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
>>>> Faire fixer avec HjT si j'ai confirmation de l'utilisateur que ce n'est pas son FAI.


¤ O19 - User stylesheet: C:\WINDOWS\windows.dat
>>> L'utilisateur dit lui-même que fixer avec HjT même en sans échec ne suffit pas...
>>> Mais comme c fait par CoolWebSearch, il faut le corriger directement avec CWShredder (NA ! Tu pensais pas que je trouverais, hin ! Kro facile...)
Rires... sauf que je ne connais pas encore ce prog... A moins qu'il y ait un autre prog qui fasse meilleur office ?
(re Pffffffff ---->>> encore un canned speech en perspective à concocter... Chi pas rendue sur CCM... non... elle râle pas... elle constate encore !)


Bon...
J'ai pas encore vérifié les 016 et j'ai trop de doutes de légitimité sur un tas de processus et ça me prend trop de temps à vérifier sans 04 ! Il est complet ce log ?!
J'attends plus de précisions avant de vraiment me pencher sur les 023 ensuite...
(Moe ? Toi au moins tu te souviens où t'as chopé ce log d'entraînement ??? Sinon je joue pu hin lol)


Bises, à ce soir si possible :-)

0
Réponse 178 / 190
Utilisateur anonyme
10 oct. 2005 à 18:14
salut lili

bah, un peu que je me souviens ou j'ai choppé le log, puisque je m'en suis occupé lol. 
¤ Pas de 04 ??!!!!! 
Q: Au fait, si ça a un rapport, comment savoir si un log a bien été fait en mode normal ? msconfig + av a reactiver 
Q: Pourquoi je ne trouve pas de traces visibles en R0/R1/R2/R3 des pages "about:blank" puis "martfinder.com" dont il parle ? 
Q: Comment je vérifie la légitimité des processus actifs ?!!!!

l'absence de 04 à bien un rapport avec windows.dat et martfinder et le log à bien été fait en mode normal 
¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE 
¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE 
¤ C:\Program Files\Internet Explorer\IEXPLORE.EXE 
>>> Fichier et chemin sont a priori bons... 
Q: Mais comment vérifier légitimité sans les 04 ?!!!! 
Q: Pourquoi 3 lignes identiques ? Faut-il en supprimer pour n'en laisser qu'un ?

peut etre parce qu'il a ouvert 3 fenetres d'IE !!, mais c'est pas de se coté là que le probleme vient... 
O19 - User stylesheet: C:\WINDOWS\windows.dat 
>>> L'utilisateur dit lui-même que fixer avec HjT même en sans échec ne suffit pas... 
>>> Mais comme c fait par CoolWebSearch, il faut le corriger directement avec CWShredder (NA ! Tu pensais pas que je trouverais, hin ! Kro facile...
)
raté !, relis son message avant le log:
il a passé ad-aware, spybot, bitdefender, cleanup, et cwshredder...

Y a pas de piège lili (enfin presque...), windows.dat est bien le responsable (entre autre.. lol), et il y a une manip pour le virer.
Je veux juste voir si arrive à la trouver, je te met sur la voie, il y a un autre fichier qui empeche sa suppression.
tu as 2 mots clés: windows.dat et martfinder, avec ca tu devrais trouver.

a++
0
Réponse 179 / 190
Utilisateur anonyme
10 oct. 2005 à 19:29
Coucou !

Mais non m'sieur, il a pas dit avoir utilisé CWShredder. Mais merci pour ces précisions, je vais avancer avec ce que j'ai.

Cool j'ai une énigme lol

A plus tard pitêt... Tap' dans l'dos !
0
Réponse 180 / 190
Utilisateur anonyme
10 oct. 2005 à 19:35
mais que si m'dame:

Problèmes avec la page de démarrage "about:blank" , qui depuis une semaine ouvre ensuite une page "martfinder.com", et qqs pop-ups dérangeants pour assaisonner le tout.

Systeme : windows XP

J'ai déjà utiliser et scanner sans réussite à l'aide de :

Hijackthis
ad-aware
spybot
bitdefender
cleanup
cwshredder

a++
0

Discussions similaires

Colis en cours de transport vers votre site de livraison ?
Ninan_5568 -
JulieVdr -

7 réponses
Envoi en cours de livraison
santos59 -
Rjfkdk -

4 réponses
Instant gaming => Paiement en attente
Utilisateur anonyme -
Utilisateur anonyme -

1 réponse
Colis en cours de livraison
Emiblerk -
Afrikarnak -

3 réponses
Ma commande est en cours de validation sur Fnac
Ali -
Ali -

2 réponses