angelique

Tu veux intervenir sur quoi??? je ne vois qu'un rapport antivir qui ne montre rien....mais il ne voit pas tout!

Je me permet d'intervenir en attendant qu'un conseiller secu passe C:\WINDOWS\system32\winubg32.dll -> Trojan.Agent.qt relance hijack do a system scan only et coches et fixcheck : O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing) -Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 et tu posteras le rapport -Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml Lance-le en double-cliquant sur le fichier blbeta.exe Accepte la licence, et clique enfin sur "Scan" - Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note. -reposte un log hijack un conseiller secu prendra la suite vu que tu es impatient:

bonsoir et bienvenue sur zebulon vincent-tim, je te cree ton propre post dans analyse hijack,un conseiller sécu te donnera la marche à suivre. Utises l'onglet "répondre" sur ce post crée.

post crée pour vincent-tim suite à son "intrusion" dans ce post: http://forum.zebulon.fr/index.php?showtopi...=0entry742689 'soir, Logfile of HijackThis v1.99.1 Scan saved at 22:32:10, on 20/05/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\ASUSKBService.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\windows\system\hpsysdrv.exe C:\HP\KBD\KBD.EXE C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Companion Photo\AzAgent.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\hjt\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/espaceabonnes R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hpC805.tmp O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB003" /M "Stylus C84" O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [AzAgent] "C:\Program Files\Companion Photo\AzAgent.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-18.cab O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/10598/SEXE.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O16 - DPF: {FC9C7D52-C99A-494A-AA79-4A25098F659C} - http://www.casinolux.com/dload/gvdload.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: ASUS Keyboard Service (ASUSKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ASUSKBService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe Merci!

'soir riton, en restant courtoise ,tu pourrais utiliser la fonction rechercher de zebulon,car ce sujet a été 10.000 fois débattu sur le forum exemple: http://forum.zebulon.fr/index.php?showtopi...08&hl=antivirus http://forum.zebulon.fr/index.php?showtopi...24&hl=antivirus http://forum.zebulon.fr/index.php?showtopi...69&hl=antivirus . . . etc.....

Je sais juste que bitdefender ne fonctionne pas en mode sans echec,donc pas de scan possible. Cela dit,il reste un bon outils. Pour scanner en mode sans echec ,il te suffit de desactiver temporairement bitdefender,d'installer antivir,de le mettre à jour,et de rebooter en mode sans echec,et de le desinstaller à la fin du scan.

re j'apporte des éléments visuels supplémentaires: tcpview: hijack: blacklight: hum!! c'est quoi [error] au lieu de [note]??? et le Unavailable: le PID de l'Unavailable a changé....mais toujours!! que signifie Unavailable Merci pour tout éléments de reponses

c'est qu'un exemple pitcat^^,ce n'est pas le bon rapport... l'autre .txt balacklight donne rien[desolé j'ai rien sous la main pour montrer],et ce n'est pas le but de la question; mais 3 <unavailable> PId 800,892,3400 avec l'onglet "process" que j'aimerai comprendre dans la liste des processus donnés

ça voudrait dire que blacklight ne peut identifier le process qui correspond à ce PID?? C'est surtout ça que je veux savoir,il ne trouve pas les infos d'identification telles que qu'il les trouve d'habitude ? Pourquoi donc? Merci pour vos elements de reponses

bonsoir, je suis juste en quete de l'info sur la signification en fin de scan de blacklight de PID 800,892,3400 ok blacklight donne les hidden process du style,ce n'est qu'un exemple,les vilains en rouge,mais c'est pas le but de ma question:05/14/06 19:31:18 [info]: BlackLight Engine 1.0.36 initialized 05/14/06 19:31:18 [info]: OS: 5.1 build 2600 (Service Pack 2) 05/14/06 19:31:18 [Note]: 7019 4 05/14/06 19:31:18 [Note]: 7005 0 05/14/06 19:31:21 [Note]: 7006 0 05/14/06 19:31:21 [Note]: 7011 896 05/14/06 19:31:21 [Note]: 7026 0 05/14/06 19:31:22 [Note]: 7026 0 05/14/06 19:31:22 [Note]: 7024 3 05/14/06 19:31:22 [info]: Hidden process: C:\windows\system32\lenqdzcwa.exe 05/14/06 19:31:22 [Note]: FSRAW library version 1.7.1015 05/14/06 19:31:46 [info]: Hidden file: c:\WINDOWS\system32\lenqdzcwa.dat05/14/06 19:31:46 [Note]: 10002 1 05/14/06 19:31:46 [info]: Hidden file: C:\windows\system32\lenqdzcwa.exe . . . etc... mais on a aussi un onglet "process" qui donne les process mais aussi le PID?? pour etre concise,je souhaiterais juste savoir ce que signifie[ci dessous] sur un rapport.txt blacklight ne montrant pas d'hidden process,le <Unavailable> de l'onglet process <Unavailable>--------PID 800 <Unavailable>--------PID 892 <Unavailable>--------PID 3400

charte:

non justement!! je n'ai pas ton experience en terme de moderation...c'est recent pour moi;donc ça me "tracasse" qlq peu si ça me concerne et prefere quitter ce poste si je ne correspond pas aux criteres!

bonjour tesgaz, j'aimerai que cela soit clair stp: peux tu citer un nom stp,que l'abces s'en aille ; ça sera carré,et mieux je pense. J'aime les choses concise,claire,nette,carré... Je ne suis pas intervenu sur ce "débat",mais là oui

1/payant 2/tres lourd et bouffe des ressources system énormément 3/il t'en fou partout ds le system et la bdr,une plaie pour le virer..... il a surement d'autres defaut.....je vais pas tous les citer. [/mode troll stop]

Je ne vois pas pourquoi tu te permets de faire une suite si un post a été fermé...... http://forum.zebulon.fr/index.php?showtopic=94826&hl=

y'aurait bien ePSXe version 1.6.0 là http://www.tradu-france.com/index.php?page=sony Sir jaguar du site Consolemul --> http://www.consolemul.com/ enfin! suis p't'etre plus à jour,ça remonte.....

la suite juste une info...

papo saches que chkdsk /p /r n'est pas un chkdsk valide en cmd, /p est un paramametre invalide en cmd,uniquement en console de recup... ----------------------------------------------------------------------------------------------------------------------- pour vérifier l'intégrité de la partition C;tu changes c par d pour ton hdd executer cmd fsutil dirty query c: on obtient ainsi un résultat: le volume c: est integre le volume c: n'est pas integre donc si c: n'est pas integre,faut la définir comme non integre en tapant: fsutil dirty set c: et rebooter le pc pour que windoz vérifie le disque. ou bien en cmd ---- chkdsk /f /r ou bien clic droit sur le hdd à verifier/propriétés/outils/verification des erreurs/verifier maintenant et cocher les 2 cases,au reboot le chk s'effectue sur 5 etapes sur ecran bleu

Relances hijack do a system scan only et coches uniquement et fixcheck ces lignes: O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab et supp le backup qui se trouve en C:\Program Files\HijackThis\hijackthis\backup ou bien relances hijack,view the list of backup,backups,et delete all

ta petite erreur comme tu dis est là: O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02 c'est un un niark parmis d'autres que tu as....... Laissons place aux conseillers et junior sécu...................

Un reste d'infection certainement....vas faire un tour sur le forum sécu,appliques la procédure preliminaire,et post ton log.txt hijack.

J'ai personnellement aussi sur un hdd maxtor 80go,8mo de cache un petit clac au boot du pc,ça fait 2 ans que ça dure ;la tete du hdd qui clac,le bras qui s'aligne!!,pas grd chose dam!!! powermax,chkdsk /p /r n'y change rien......

et puis apres !!! lis la charte de zebulon: t'as dl un avi torrent,c'est un .ogm,donc codec ogg,zebulon t'aidera pas la dessus!

heu!! j'ai pas entendu que du bien sur DAP[download accelerator....],souvent viré par les conseillers sécurités dans les logs hijackthis!!

car diskpart est pas natif sous 2000,j'ai edité le post precedent,regarde les 2 autres liens!! J'me doute que si diskmgmt.msc les voit pas tes hdd scsi,diskpart nan plus lol... T'as essayé vers une disquette de boot classique dos,et avec fdisk??creation de partoches,et format [lettre hdd]??