Aller au contenu


Photo
- - - - -

Hijackthis, la premiere fois


  • Veuillez vous connecter pour répondre
3 réponses à ce sujet

#1 sulik

sulik

    Junior Member

  • Membres
  • 2 messages

Posté 15 juillet 2004 - 01:16

:P Bonjour à tous. J'ai constaté depuis kk tps un ralentissement global de mon Windows 2000 à l'ouverture, jusqu'à ce matin où il refusait litteralement d'accéder au bureau. Avec le gestionnaire des taches j'ai identifié des processus aux comportements anormaux: crep.exe, ieny.exe, ... . J'ai pu restauré ensuite mon bureau en désactivant puis relançant l'explorer et je me suis attelé à des travaux de recherche sur le Net pour trouver enfin Hjt ke je ne connaissait pas ( le topic d'utilisation sur ce site est drolement bien fait d'ailleurs!!).
Bref voici le log issu de mon premier scan:

Logfile of HijackThis v1.97.7
Scan saved at 14:03:37, on 15/07/2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Norton Speed Disk\nopdb.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\crep.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINNT\explorer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\sdkdz32.exe
C:\Utilitaires\RegCleaner\RegCleanr.exe
C:\Program Files\Real\RealOne Player\realplay.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.exe
C:\Program Files\Norton Utilities\SYSDOC32.EXE
C:\Documents and Settings\Administrateur\Bureau\NET\Logiciels\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotf...count_id=134993
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotf...count_id=134993
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-ex...chbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kafso.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kafso.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search...ode=exesrch&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mshp.dll/index.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2321229F-BB05-7845-9A5C-B2533705C668} - C:\WINNT\system32\ieww32.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [CapFax] C:\Program Files\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\System32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Utilitaires\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [rfclwhoxc] C:\WINNT\System32\horrfz.exe
O4 - HKLM\..\Run: [sdkdz32.exe] C:\WINNT\sdkdz32.exe
O4 - HKCU\..\Run: [Sdbu] C:\Documents and Settings\Administrateur\Application Data\stsc.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess
O4 - HKCU\..\Run: [mslagent] C:\WINNT\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Usl] C:\WINNT\System32\pwcslp.exe
O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe
O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe
O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe
O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe
O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe
O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe
O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com...ex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.micr...922/wmv9VCM.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-downlo...tsInstaller.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macr...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0ED343A-C923-4BA8-A70D-C27417B493DF}: NameServer = 213.228.0.23 212.27.32.176

J'avous avoir des doutes sur:
O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe
O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe
O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe
O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe
O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe
O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe
ainsi que mslagent32
Kelkun peut-il m'aider?? Renseignements complémentaires: j'utilise PC-cillin en permanence avec MAJ régulières, Spybot et RegCleaner pour le nettoyage ainsi que Norton Utilities pour les réparations

Voili Voilo

Merci d'avance
  • 0

PUBLICITÉ

    Annonces Google

#2 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 15 juillet 2004 - 01:54

Bonjour sulik, bonjour à tous,

Je te souhaite la bienvenue sur Zebulon !

Je vais essayer d'analyser ton log mais d'ores et déjà, il y a plein d'éléments malicieux dont 2 que je connais :
- mslagent.exe (cheval de Troie)
- Instant Access (dialer) -> http://www.annoyance...inme/1089161507 !

Vu toutes tes défenses (impeccables à première vue), je dirais que tes utilitaires ne sont pas correctement mis à jour avant utilisation ! par exemple, as-tu bien la version 1.3 de Spybot ?
  • 0

#3 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 15 juillet 2004 - 02:05

Rebonjour,

Je poste çà en quatrième vitesse (je suis au boulot), alors sois quand même méfiant ! :P

Coche et "Fix" :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotf...count_id=134993
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotf...count_id=134993
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kafso.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-ex...chbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kafso.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kafso.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kafso.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search...ode=exesrch&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mshp.dll/index.html#22776

O2 - BHO: (no name) - {2321229F-BB05-7845-9A5C-B2533705C668} - C:\WINNT\system32\ieww32.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll

O4 - HKLM\..\Run: [rfclwhoxc] C:\WINNT\System32\horrfz.exe
O4 - HKLM\..\Run: [sdkdz32.exe] C:\WINNT\sdkdz32.exe
O4 - HKCU\..\Run: [Sdbu] C:\Documents and Settings\Administrateur\Application Data\stsc.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess
O4 - HKCU\..\Run: [mslagent] C:\WINNT\mslagent\mslagent.exe
O4 - HKCU\..\Run: [Usl] C:\WINNT\System32\pwcslp.exe
O4 - HKLM\..\RunOnce: [ipjz.exe] C:\WINNT\system32\ipjz.exe
O4 - HKLM\..\RunOnce: [crep.exe] C:\WINNT\crep.exe
O4 - HKLM\..\RunOnce: [ieny.exe] C:\WINNT\system32\ieny.exe
O4 - HKLM\..\RunOnce: [sdkkw.exe] C:\WINNT\sdkkw.exe
O4 - HKLM\..\RunOnce: [apiyy32.exe] C:\WINNT\apiyy32.exe
O4 - HKLM\..\RunOnce: [crry32.exe] C:\WINNT\system32\crry32.exe

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Pas nécessaire, à toi de voir si tu utilises :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com...ex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.micr...922/wmv9VCM.CAB
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-downlo...tsInstaller.cab

J'ai des doutes (est-ce que tu connais ?) :
O4 - HKLM\..\Run: [CapFax] C:\Program Files\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\System32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
  • 0

#4 sulik

sulik

    Junior Member

  • Membres
  • 2 messages

Posté 15 juillet 2004 - 04:25

Merci IPL pour ta rapidité (je ferais de la pub pour zebulon.fr sans porblème!!), j'ai cleané les entrées que tu m'as spécifié et apriori mes soucis ont disparu, mon démarrage se fait normalement.
Je n'avais pas la version 1.3 de Spybot, une erreur a ne pas reproduire....
Pour les entrée inconnues, elles correspondent à des logiciels ke j'utilise donc je les garde.
Merci encore , en espérant ke mes démarrages en foirent pas encore!
  • 0









Sujets similaires :     x