Analyse log hijackthis

Résolu
garagiste Messages postés 714 Statut Membre -  
 Bourdiou -
bonjour,
je vous souhaite de joyeuses fêtes à toutes et à tous.
je ne veux pas vous faire travailler un jour ferié, mais suite a un comportement bizarre de mon pc, j'ai fait un log que je vous expose:

Logfile of HijackThis v1.99.1
Scan saved at 09:32:58, on 24.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\System32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\progs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINNT\system32\yaemu.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130608570516
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D9386EE-DD9A-4DE4-A94B-C9BD6ADD37AF}: NameServer = 85.255.113.132,85.255.112.87
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B62A50A-C985-4595-98D3-CE97625BC393}: NameServer = 85.255.113.132,85.255.112.87
O17 - HKLM\System\CCS\Services\Tcpip\..\{92C19747-2956-4F1A-84F7-F0922B80A65E}: NameServer = 85.255.113.132,85.255.112.87
O17 - HKLM\System\CCS\Services\Tcpip\..\{9468676B-7A8E-478F-933B-1D71BF6BBB48}: NameServer = 85.255.113.132,85.255.112.87
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

je trouve bizarre que je sois revenu à IE5
je veux virer yaemu que je ne connais pas et qui s'est incrusté
les lignes 017 aussi, elles ne sortent pas avec google?

merci à vous et joyeux noël

35 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur signale un comportement bizarre et partage un log HijackThis sur Windows 2000 SP4, avec IE5 et des processus suspectés, dont yaemu.exe et Downloader.Agent.uj. Des éléments évoquent une infection avec redirections et malwares dans les pages de démarrage et les barres d’outils, notamment des entrées 014 et 017 et des composants O2/O4. Plusieurs réponses recommandent des analyses croisées (ewido, kaspersky webscanner, BitDefender) et des actions comme mode sans échec, mises à jour IE et suppression des entrées inconnues, notamment yaemu. Dernièrement, certains évoquent des résultats divergents entre outils et la possibilité d’une réinstallation partielle ou complète après vérification des composants critiques et des paramètres réseau.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    tes 017 sont tres douteuse
    tu les fix avec hijack et si tu as un soucis tu pourrats les restaure

    et pour ton yaemu.exe
    telecharge
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus sur smitfraudfix.cmd et tu choisi l option 1
    cela vas generer un rapport donne nous le
    *******
    redemarre en sans echec

    relance le et choisi cette fois l option 2 et repond oui a tous
    redemarre et donne le nouveau rapport
    *******
    0
  2. garagiste Messages postés 714 Statut Membre 161
     
    salut,
    merci pour ta réponse rapide,
    voila le premier rapport

    SmitFraudFix v2.08

    Rapport fait à 10:24:30.44 le sam. 24.12.2005
    Executé à partir de C:\telechargement\smit\SmitfraudFix
    OS: Microsoft Windows 2000 [Version 5.00.2195]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\andre\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    entre temps j'ai passé spybot qui m'a trouvé:
    coolwwwsearch
    pipasA
    sexlist

    et après ewido:
    voila le rapport
    ---------------------------------------------------------
    ewido security suite - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 10:16:06, 24.12.2005
    + Somme de contrôle: FB96E410

    + Résultats du scan:

    HKLM\SOFTWARE\Classes\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
    [176] VM_00B40000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [172] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1080] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1292] VM_00DB0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1320] VM_00BF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1404] VM_006B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1396] VM_00D00000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1412] VM_00C80000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1156] VM_00840000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1200] VM_00850000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    C:\WINNT\system32\iwtij.dll -> Spyware.SBSoft : Nettoyer et sauvegarder

    ::Fin du rapport

    je fais l'option 2 et je reposte
    a+
    0
  3. garagiste Messages postés 714 Statut Membre 161
     
    re,
    voila le deuxième rapport
    SmitFraudFix v2.08

    Rapport fait à 10:30:09.30 le sam. 24.12.2005
    Executé à partir de C:\telechargement\smit\SmitfraudFix
    OS: Microsoft Windows 2000 [Version 5.00.2195]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    merci a+
    ps:mille excuses j'ai oublié de redémarrer, je recommence
    0
  4. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour Balltrap ! :-))

    Salut Garagiste.

    Alors, on se fait une petite balade en Ukraine ! lol

    Tes O17 t'envoyaient direct là-bas !
    85.255.112.0 - 85.255.127.255
    Inhoster hosting company
    OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

    Joyeux Noel à Tous !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. garagiste Messages postés 714 Statut Membre 161
     
    re,
    merci a vous, yaemu n'est plus la, c'était quoi ce truc?
    voila le rapport
    SmitFraudFix v2.08

    Rapport fait à 10:38:45.19 le sam. 24.12.2005
    Executé à partir de C:\telechargement\smit\SmitfraudFix
    OS: Microsoft Windows 2000 [Version 5.00.2195]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    j'ai profité que j'étais sans échec pour repasser spybot (qui m'a félicité!),A2 qui n'a rien trouvé d'autre que process.exe évidemment, et ewido dont voila le rapport
    ---------------------------------------------------------
    ewido security suite - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 10:54:23, 24.12.2005
    + Somme de contrôle: B9227C11

    + Résultats du scan:

    [136] VM_00B40000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [132] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [480] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage

    ::Fin du rapport
    il me reste à comprendre pourquoi j'ai IE5..j'avais IE6 à jour! je ne l'utilise pas mais les enfants utilisent msn...
    est-ce en rapport avec les lignes 014?
    voila mon rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 11:39:11, on 24.12.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\System32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
    C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\progs\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\msconfig.exe /auto
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
    O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130608570516
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

    merci a+ et bonnes fêtes

    ps: comment j'ai fait pour aller en ukraine??
    0
  7. garagiste Messages postés 714 Statut Membre 161
     
    encore moi,
    j'ai un programme ipconfig.exe dans system32 que j'ai bloqué hier avec zone alarme, c'était la première fois qu'il se manifestait, est-ce en rapport avec l'ukraine?
    0
  8. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    C'est fort possible.

    Si tu n'avais pas tapé cette commande toi même, tu as bien fait de la bloquer.

    A+
    0
  9. garagiste Messages postés 714 Statut Membre 161
     
    salut,
    merci pour la réponse.
    j'ai encore quelques questions:
    -ça veut dire quoi concretement "être envoyé en ukraine"?
    -c'est quoi "Downloader.Agent.uj"? ewido disait menace grave.
    -faut'il que je remette IE à jour? dois-je le faire depuis le compte administrateur pour que ce soit valable pour tous les utilisateurs.
    a+
    0
  10. garagiste Messages postés 714 Statut Membre 161
     
    désolé mais j'ai encore une question,
    dans zone alarme c'est quoi la différence entre accès et serveur, hier firefox m'a demandé pour la première fois d'agir comme serveur, j'ai dit non.(ça fait 6 mois que j'utilise firefox).
    a+
    0
  11. garagiste Messages postés 714 Statut Membre 161
     
    suite:
    j'ai trouvé la réponse à une de mes questions, en réinstallant IE6sp1 depuis windows update, les lignes 014 ont disparu, "elles se sont fixées toutes seules".
    elles étaient marquées msn.com, j'en déduis que c'est par msn que c'est arrivé, pour travailler avec IE5 et profiter de ses failles...
    a+
    0
  12. garagiste Messages postés 714 Statut Membre 161
     
    bonsoir,

    je sollicite encore vos idées, car maintenant j'ai 3 programmes qui se bloquent, je ne sais pas si c'est en rapport avec ces problèmes ci dessus:
    regseeker, jv16 et adaware se figent et je dois les terminer de force.
    sans echec j'ai pu utiliser (difficilement) regseeker mais pas les 2 autres.

    aussi je me demande pourquoi teatimer n'a rien dit quand les lignes malfaisantes sont arrivées, alors qu'il m'a demandé la permission pour les enlever? je l'ai désactivé et j'ai supprimé une entrée yaemu qui restait avec regedit.

    panda en ligne me trouve une entrée de registre pour sbsoft, mais je ne la trouve pas, même avec RegSrch.vbs

    je vous remet mon log qui me semble propre maintenant

    Logfile of HijackThis v1.99.1
    Scan saved at 00:20:04, on 27.12.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\System32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\ewido\security suite\ewidoctrl.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
    C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\WINNT\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\progs\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Program Files\JETWAY\MpegTV Station PCITV\RemoteCtl.exe
    O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130608570516
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

    merci pour vos idées, bonne soirée
    0
  13. garagiste Messages postés 714 Statut Membre 161
     
    salut tout le monde,
    encore une question..!
    est-ce qu'en utilisant une session sur un compte avec droits restreints on risque aussi de choper des saletés?
    c'est le cas du compte de mes enfants, mais ils ont pris la mauvaise habitude d'utiliser le mien (interdit maintenant pour msn), et j'ai pris la mauvaise habitude de laisser le mien en administrateur...a cause de nero qui ne veut pas graver autrement.
    pour les questions 8, 9 et 11, vous avez des idées?
    merci d'avance a+
    0
  14. Utilisateur anonyme
     
    salut

    du moment que tu surfs tu peux attraper n importe quoi.par contre si t es en droit restreint, tu as certains telechargements qui sotn interdits....et ca , ca evite de choper certaines merdes

    quelles sont les autres questions?
    0
  15. garagiste Messages postés 714 Statut Membre 161
     
    salut régis 59,
    merci pour la réponse, avec les droits restreints on peut quand même avoir des modifs de registre?
    les autres questions, c'est celles que j'avais postées plus haut,
    en particulier le scan ewido qui n'a pas réussi,
    ---------------------------------------------------------
    ewido security suite - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 10:54:23, 24.12.2005
    + Somme de contrôle: B9227C11

    + Résultats du scan:

    [136] VM_00B40000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [132] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [480] VM_00820000 -> Downloader.Agent.uj : Erreur durant le nettoyage

    ::Fin du rapport

    et mon "voyage en ukraine" je n'ai pas vraiment compris ce que c'était, et aussi mes programmes qui ne fonctionnent plus.voir post 8, 9, et 11.
    et aussi pourquoi panda en ligne me trouve toujours un entrée de registre "sbsoft"
    bonne soirée a+

    et encore merci pour les concepteurs de smitfraudfix, vraiment rapide et efficace!
    0
  16. Utilisateur anonyme
     
    re,

    merci pour la réponse, avec les droits restreints on peut quand même avoir des modifs de registre?

    Oui tout a fait, rien que parfois le fait de surfer, tu chopes des spywares, et cela fait des modifs dans le registre

    le scan ewido qui n'a pas réussi
    Relance le et si c est pareil, on verra que faire

    et mon "voyage en ukraine" je n'ai pas vraiment compris ce que c'était

    Tu etait redirigé en ukraine, ca correspond a un Piratage du domaine Lop.com ...mais c'est corrigé

    -c'est quoi "Downloader.Agent.uj"? ewido disait menace grave.
    C est un trojan.

    -faut'il que je remette IE à jour? .
    Ta version me semble a jour.

    j'ai supprimé une entrée yaemu
    Tu me parles de ceci + redirection en 017, ca me fait penser a une infection, on peut verifier qqchose?
    0
  17. garagiste Messages postés 714 Statut Membre 161
     
    merci,
    effectivement j'ai du me remettre à jour avec IE, le pirate m'avait remis IE5 (voir premier log hijackthis).
    pour la redirection en ukraine, ça veut dire que toute mes connections internet passaient par là??si c'est ça je comprends pourquoi c'était plus lent.
    pour ce qui est de vérifier, je ne sais pas quoi vérifier maintenant, on a bien nettoyé mais je vais refaire ewido pour voir, et il y a toujours regseeker et adaware qui refusent de scanner.
    a+ je reposte le scan ewido dès que je pourrai retourner sur ma session, maintenant c'est les enfants qui surfent...
    0
  18. garagiste Messages postés 714 Statut Membre 161
     
    me revoila,
    le rapport ewido
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 23:13:07, 27.12.2005
    + Somme de contrôle: 50A9A0C4

    + Résultats du scan:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder
    HKU\S-1-5-21-1645522239-1383384898-1957994488-1000\Software\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
    [148] VM_00B40000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [156] VM_00A20000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1140] VM_00840000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1300] VM_00DB0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1292] VM_00BF0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1420] VM_006B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1228] VM_00D20000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [660] VM_00C80000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    [1264] VM_00840000 -> Downloader.Agent.uj : Erreur durant le nettoyage
    C:\WINNT\system32\dmkul.exe -> Trojan.Pakes : Nettoyer et sauvegarder
    C:\WINNT\system32\howiper.exe -> Trojan.Qhost.df : Nettoyer et sauvegarder

    ::Fin du rapport
    le trojan est toujours là

    merci de me donner une piste pour savoir ou il se cache
    a+
    0
  19. garagiste Messages postés 714 Statut Membre 161
     
    salut,
    je l'ai (re)fait après l'avoir mis à jour, mais il ne trouve que process.exe de smitfraudfix que je n'ai pas supprimé.

    j'ai remarqué en surveillant le scan d'ewido que toutes les entrées du trojan sont trouvées pendant le scan de la mémoire, normal qu'il ne puisse pas réparer.
    le fichier se cache bien comment le trouver?
    merci pour ton aide a+
    0
  20. Utilisateur anonyme
     
    pr smitfraud, n y touche pas

    tu as un rapport a me fournir?

    a+
    0
  • 1
  • 2