Analyse de mon rapport Résolu/Fermé

Question

Bonjour,

Voilà, ça devait arriver, j'ai ouvert un dossier zip qui a tué mon adresse IP. Plus de connection possible même après avoir suivi tous les bons conseils pour en retrouver une. C'est peut-être une usurpation d'identité ?? je vous envoie mon rapport par un autre PC et je m'en remet aux mains des excellents spécialistes de ce forum.

Merci d'avance

 Logfile of HijackThis v1.99.1
Scan saved at 14:49:04, on 2/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{75BF7503-DFA4-4A57-8FFC-F6F6753775A6}: NameServer = 195.218.0.9,195.218.0.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC9CD878-4D53-4AB4-BAB5-7EF0654C113A}: NameServer = 195.218.0.9,195.218.0.8
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Protection Trend Micro contre les programmes espions  (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

DeNisCoOl · Answer

salut al06,

Avez vous essayé ceci ?
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau 
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés. 
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement. 
Clique deux fois sur OK, et redémarre l'ordinateur.

Vous n'avez pas la dernière version de HJThis
----------------------
- Télécharger HiJackThis sur le bureau : 
- Le tutoriel ici : http://www.internetaumax.org/tuto_HJT.htm

- Installer le sur un répertoire dédié.
- Renommer Hijackthis, pour contrer une éventuelle infection de Vundo.
- Renommer le fichier HiJackThis.exe par exemple en CCM (à chercher dans le répertoire d’installation par exemple C:\Program Files\).
- Pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste.
- Taper CCM et Appuyer sur la touche Entrée.
- Générer un rapport en suivant ces indications :
- Double-clic sur CCM.exe.
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.
Aide : N'hésite pas à consulter l'aide HiJackThis – 

----------------------
Je penses qu'il aurait été plus facile de vous tirer un bon coup dans le pied ;-)
Car savez vous combien existe t-il d'infection sur internet?............................ réponse: entre 800 000 et 1 000 000.
Alors un antivirus, un antispyware et un parefeu sont un minimum pour éviter ce genre de mauvaise surprise.

Et un réflexe avant de cliquer sur un fichier que vous avez reçu ou téléchargé.
Faites le analyser dans ce site : www.virustotal.com

----------------------
-Une question Luxembourg Online S.A. est bien votre fournisseur internet?

A+

al06 · Answer

Merci Deniscool,

Voilà comment ça s'est passé. J'ai téléchargé un petit programme zippé (emule, oui je sais, c'était le risque à prendre !!) qui permet de faire un carousel d'image pour mon site mais au dézippage, blocage et arrêt de windows. Au redemarrage mon anti-virus PCCillin n'est plus là et ne veux plus se réinstaller en me signalant qu'il y a un élément dernièrement installé qui provoque un conflit (sûrement la saloperie du hackeur). Je fais immédiatement une recherche et je supprime tout ce qui porte le nom de carousel (j'ai sûrement supprimé quelques clés de registre). J'ai aussi Ewido, Avast et Ccleaner mais ils n'ont rien trouvé et rien non plus avec l'outil de désinfection Beagle de symantec. Autre surprise, plus moyen de me connecter à mon fournisseur parce que je n'ai plus d'adresse IP ou plutôt c'est un autre qui l'utilise. J'ai fais Netsh winsock reset mais rien non plus, j'ai mis une adresse IP et DNS fixes mais pas plus de succès et pas plus non plus pour la réinstallation du protocole. Pour info, ma connection se fait par câble à la ville d'Esch/sur/Alzette (Eschspeed). Le problème pour le rapport c'est que je ne peux plus redemarrer sans échec et que je dois transférer d'un autre PC HijackThis par une clé. Je ne peux pas non plus faire analyser le fichier téléchargé parce que je l'ai immédiatement éliminé, ouais, la panique quoi !!

Bon, je te remercie énormément de ton aide et je vais essayer de suivre tes instructions à la lettre. Laisse moi quelques minutes le temps de faire les manipulations d'un PC à l'autre.

A+

al06 · Answer

Mauvaise surprise Deniscool, j'ai une alerte comme quoi HijackThis n'est pas une application Win32 valide et ne veux pas s'éxécuter ??

al06 · Answer

Salut Deniscool,

Sur tes conseils et comme j'avais supprimé le fichier, je viens de le recharger d'emule et voilà l'analyse faite par Virus Total :

Il s'agit bien d'un Win32 Beagle mais comment faire sans connection internet ??

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.2.3.10 2008.02.02 - 
AntiVir 7.6.0.61 2008.02.01 - 
Authentium 4.93.8 2008.02.03 - 
Avast 4.7.1098.0 2008.02.02 Win32:Beagle-ZZ 
AVG 7.5.0.516 2008.02.02 I-Worm/Bagle 
BitDefender 7.2 2008.02.03 DeepScan:Generic.Malware.SPVPkWkg.8F95E452 
CAT-QuickHeal 9.00 2008.02.01 - 
ClamAV 0.92 2008.02.03 PUA.Packed.Themida 
DrWeb 4.44.0.09170 2008.02.03 - 
eSafe 7.0.15.0 2008.01.28 - 
eTrust-Vet 31.3.5504 2008.02.01 - 
Ewido 4.0 2008.02.03 - 
FileAdvisor 1 2008.02.03 - 
Fortinet 3.14.0.0 2008.02.03 W32/Bagle.fam!tr.dldr.Themida 
F-Prot 4.4.2.54 2008.02.02 - 
F-Secure 6.70.13260.0 2008.02.03 Trojan-Downloader.Win32.Bagle.jf 
Ikarus T3.1.1.20 2008.02.03 Backdoor.VB.EV 
Kaspersky 7.0.0.125 2008.02.03 Trojan-Downloader.Win32.Bagle.jf 
McAfee 5221 2008.02.01 - 
Microsoft 1.3204 2008.02.03 - 
NOD32v2 2845 2008.02.02 - 
Norman 5.80.02 2008.02.01 - 
Panda 9.0.0.4 2008.02.03 - 
Rising 20.29.22.00 2008.01.30 - 
Sophos 4.26.0 2008.02.03 - 
Sunbelt 2.2.907.0 2008.02.02 VIPRE.Suspicious 
Symantec 10 2008.02.03 - 
TheHacker 6.2.9.206 2008.02.02 W32/Behav-Heuristic-064 
VBA32 3.12.6.0 2008.02.02 - 
VirusBuster 4.3.26:9 2008.02.02 - 
Webwasher-Gateway 6.6.2 2008.02.03 Win32.Malware.gen (suspicious) 
Information additionnelle 
File size: 728602 bytes 
MD5: 1a9b14005669e2f123049923de0cb239 
SHA1: 5e3579c47e474a3e356eb2fb82bbc1288b68a2f5 
PEiD: - 
packers: Themida 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

DeNisCoOl · Answer

al06,

-C'est le risque d'utiliser ces logiciels p2p, c'est également illégale pour des questions de copyright.
Vous pouvez le supprimer attention: clic souris bouton droit et choisi supprimer, puis vider la corbeille.

-Rendez vous sur le site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 
Tout en bas de cette page tu trouveras un outil 
À télécharger, cliquer sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
Installer ce fichier sur le bureau. 
Ensuite double-clic sur Elibagla.exe 
>laisse la case "eliminar ficheros automaticamente" coché 
>clique sur"explorar" 
>laisse-le travailler 
>poste le rapport final qui sera dans c:\infosat.txt 


-Si l'ancienne version de HJThis est encore là c'est mieux que rien.


-Avez vous exécuté la première partie du message1?


A+

al06 · Answer

Salut Deniscool,

J'ai bien voulu supprimer le protocole et le réinstaller mais comme ma connection réseau n'existe plus et que je n'arrive pas non plus à en réinstaller une je ne sais plus quoi faire.

Autre surprise, j'ai fait un tour du côté des services et là j'ai constaté que tout est désactivé et pas moyen d'activer quoi que ce soit. Résultat, je ne peux même plus installer Elibagla.exe parce que les controleur USB ne fonctionnent plus non plus. Bref je suis paralysé, je ne peux plux rien entrer ni sortir de ce PC.

Je pense que je vais formater tout ça "bas niveau" parce que j'ai assez perdu de temps avec ce beagle.

Qu'en penses-tu ??

Merci de ta compation

A+

DeNisCoOl · Answer

al06,

Attends je vais chercher de l'aide moi je vais travailler.

Avant de formater il y a des solutions, un peu moins radicale qui demande moins de travail.

A+

al06 · Answer

Deniscool,

Je ne voudrais surtout pas te faire perdre trop de temps inutilement. Formater ne me dérange pas surtout qu'il n'y a pas grand chose sur ce PC et en plus j'ai pas mal de temps libre. 

Mais pour ne pas t'avoir inutilement emmerdé avec mon virus, je vais attendre par respect que tu trouves une solution miracle et puis ça pourra sûrement m'aider la prochaine fois et aussi aider les autres collectionneurs de virus.

En tout cas c'est un challenge intéressant parce ce que cette situation est vraiment extrême et je suis curieux de savoir comment on peut en sortir !!

Encore merci Deniscool, j'apprécie vraiment tes efforts.

A +

papyber · Answer

puisque tu télécharges elibagla à partir d'un autre Pc, essaie de le renommer avant de l'installer sur le Pc infecté
fais une recherche sur ces fichiers et ces noms et supprime les si tu le peux
C:\WINDOWS\SYSTEM32\WINTEMS.EXE 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE 
C:\WINDOWS\system32\MDELK.EXE 
c:\WINDOWS\system32\drivers\down
repasse ensuite elibagla renommé
puis télécharge combofix, toujours sur le Pc non infecté
renomme le en combo-fix avant de l'installer lui aussi et scanne ton Pc avec
Télécharge combofix.exe (par sUBs) sur ton Bureau
  http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

bonne chance

DeNisCoOl · Answer

merci papyber pour ton aide

A+

al06 · Answer

Salut et merci à vous deux, j'ai bien supprimé les fichiers concernés mais je ne peux toujours pas installer Elibagla car je n'ai plus de port USB et il ne reconnait plus non plus les lecteurs. Un ami va venir ce dimanche pour voir l'ampleur des dégâts parce que moi, franchement, je patauge dans la semoule !!!

Je ne sais pas comment vous remercier, vous avez perdu beaucoup trop de temps avec mes conneries. Je pense qu'il manque beaucoup trop d'éléments à mon système et qu'il vaut mieux tout formater.

J'attends le diagnostic mais je ne me fait pas d'illusions.

A+

papyber · Answer

tiens nous au courant et dis nous ce que tu fais
si tu formates, ce qui peut être une solution pour repartir de neuf, je te conseille de suivre ces recommandations afin d'éviter d'être dans cette panade très rapidement, après avoir sauvegardé ce qui peut l'être!
1/ avant même d'aller sur le net
installe toutes tes protections, antivirus et pare feu puis antispyware comme spybot avec le tea timer activé
2/mets toi à jour de tous tes logiciels
XP
Java
Antivirus et antispyware
3/laisse tomber le crack
!tu as vu je pense ce que cela apporte, de plus il y a quantité de logiciels gratuits qui font la même chose que ces logiciels crackés et sans risques!!
un peu de lecture sur le crack
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

quelques conseils sur les logiciels de protection et pour configurer ton Pc pour avoir un surf facile et sécurisé
Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants ainsi que des conseils efficaces de prévention.
https://forum.pcastuces.com/default.asp
bonne chance!

al06 · Answer

Merci Papyber,

Voilà, j'ai formaté et bas niveau en plus avec Disc Wizard !! Pas moyen de le faire avec le CD, mais bon........c'est fait. Un ami m'a donné un coup de main pour réinstaller de A à Z vu qu'on a rien pu sauver............une bonne leçon qui m'a pris tout le dimanche pour la digérer !! Faut être pris pour apprendre, je m'en souviendrais et grâce à tes conseils ce PC sera maintenant sous haute surveillance et sans cracks !!

J'ai encore un petit problème, j'ai un petit site créé avec Front Page qui marchait relativement bien, mais maintenant mes boutons de liens ne fonctionnent plus. Tout fonctionne très bien dans Front Page mais une fois transféré sur le serveur les boutons sont inactifs ou invisibles !!

Faudrait peut-être que je pose la question sur le bon forum ?

En tout cas, encore merci à toi et à DenisCool, très sympa !

A+

papyber · Answer

bon courage pour la suite
voir sur le forum webmastering pour ton problème

Analyse de mon rapport

14 réponses

Discussions similaires