Aller au contenu

Cyril7000

Membres
 Afficher le profil  Afficher son activité

  • Compteur de contenus

    29

  • Inscription

  • Dernière visite

 Type de contenu 

Messages posté(e)s par Cyril7000

  2. Disparition boîte de réception dans Windows Live Mail

    dans Software

    Posté(e) · Modifié par Cyril7000

    Merci Ticlou,

     

    Pour ma part, sous Dossier stocké sur l'ordinateur, j'avais bien :

    - Boîte de réception

    - Brouillons

    - Éléments envoyés

    - Messages supprimés

    - Boîte d'envoi.

     

    Je suis sous XP SP3 (Live Mail diffère peut-être de Vista ou Seven). J'ai utilisé pendant plusieurs années Outlook Express avec 2 comptes mails différents. Lors de l'installation de Live Mail, au premier démarrage, Live Mail a

    - créé 3 dossiers principaux : ceux des 2 comptes mails et Dossier stocké sur l'ordinateur,

    - importé l'ensemble des messages et répertoires. Il a pu en attribué un certain nombre aux 2 comptes. Les autres, il les avait importé dans Dossier stocké sur l'ordinateur > Boîte de réception > sous-dossiers que j'avais créé sur OE.

    - importé les règles de messages vers ces sous-dossiers.

     

    Et maintenant, plus de boite de réception sous Dossier stocké sur l'ordinateur (mais celles des 2 comptes mails sont bien présentes) et les règles de messages qui pointaient vers ses sous-dossiers marquent une erreur concernant le répertoire.

  3. Disparition boîte de réception dans Windows Live Mail

    dans Software

    Posté(e)

    Salut Cyril7000

    Ils sont peut-être encore là, vérifies dans Windows Live Mail, Affichage' --> 'Disposition' --> dans volets des dossier et vérifies si -afficher les dossier de cet ordinateur -est coché

    Amicalement:P

    Ticlou

     

    Je viens de contrôler : "afficher les dossier de cet ordinateur" est bien coché. En fait, le dossier "Dossier stocké sur l'ordinateur" est bien présent. Seule la boite de réception a disparu. Il reste Brouillons, Eléments envoyés, Messages supprimés et Boîte d'envoi.

  4. Disparition boîte de réception dans Windows Live Mail

    dans Software

    Posté(e) · Modifié par Cyril7000

    Bonjour,

     

    Nous avons fait en octobre dernier un transfert de nos mails de Outlook express à Windows live mail.

    Ce transfert nous a créer 3 comptes celui de mon ami, le mien et un compte appelé : "dossier stocké sur l'ordinateur"

     

    On s'est aperçu hier que la boite de réception du "dossier stocké sur l'ordinateur' ainsi que tous les répertoires le composant ont disparu.

    On ne les retrouve pas dans "éléments supprimés".

     

    Y a t-il un moyen de les récupérer (nous avons essayé Recuva mais sans succès) ; où faut-il les chercher, svp ?

     

    Merci d'avance.

     

     

    -----------------------------------

    Windows XP SP3

  5. Fingerprint

    dans Hardware

    Posté(e)

    Bonjour à tous,

     

    J'utilise le lecteur d'empreintes digitales Microsoft Fingerprint. J'ai besoin de formater le disque dur de mon PC et je ne veux pas saisir la liste de pages web, logins et mots de passe après ré-installation de mon système d'exploitation.

     

    Quelqu'un connaît-il le nom et l'emplacement du (des) fichier(s) contenant ces données afin que je puisse le (les) sauvegarder ?

     

    Question facultative : j'ai également du mal à trouver si des mises à jour existent et où ?

     

    Merci d'avance.

     

    Cyril7000

  6. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonsoir Ilp_001, bonsoir à tous,

     

    Concernant ta remarque ci-dessous :

     

    Je ne vois rien d'infectieux dans les 2 rapports HijackThis que tu as postés mais il y a une ligne qui me laisse sceptique :

    (Rapport 2 (L))

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://k.the-fbi-got-my.info/filelib/filelib/j.html

    Cette page Web n'existe pas... un lien de Google qui en parle est associé à des pages pornos ! ( h ttp://little-boy-bbs.morewebbase.com/ Fais attention à cette dernière page -dont j'inactive le lien ! Mon antivirus Avast a sorti sa sirène !)

    mon ordinateur, à chaque démarrage, ouvrait systématiquement (et automatiquement) une fenêtre Internet Explorer sur l'adresse "http://k.the-fbi-got-my.info/filelib/filelib/j.html". Cette page était "impossible d'afficher la page ..................". Ceci s'est produit dès l'installation initiale de Windows. Je pense que j'ai ramassé cette ligne de commande dès ma première connexion internet pour les MAJ de l'antivirus et de Windows. Au bout de plusieurs mois d'utilisation de l'ordinateur, l'adresse s'est raccourci et m'ouvrait une page qui n'était pas porno mais concernait des noms de domaine.

    Visiblement pas méchant (je peux me tromper) et n'ayant pas réussi à la trouver, je m'était résigné à laisser cette exécution.

     

    Enfin bon, depuis votre coup de main pour virer Hacktool Rootkit, cette action ne s'exécute plus. Je ne vais pas m'en plaindre et vous remercie d'avoir fait d'une pierre deux coups.

     

    Je vais qu'en même passer Hijackthisen mode sans échec sur le rapport 2 (L) pour virer la ligne qui te laisse sceptique.

     

    Bonne soirée.

     

    Cyril

  7. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonsoir Ipl_001, bonsoir à tous,

     

    Désolé d'avoir été aussi peu réactif à ton dernier post mais j'ai eu quelques soucis personnels et l'informatique est resté un peu de côté.

     

    En mode sans échec, j'ai 2 comptes en plus du compte administrateur. Voici les rapports.

     

    Rapport 1 © :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 22:39:29, on 05/07/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\userinit.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Rapport 2 (L) :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 22:38:57, on 05/07/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://k.the-fbi-got-my.info/filelib/filelib/j.html

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Pour la 2ème partie de ton post :

    Ensuite, il faudra que nous parlions prévention de manière à ce que ton système soit à l'abri des menaces !

     

    J'ai 2 PC avec sur chacun :

    * Spybot S&D 1.4,

    * Ad-Aware 1.06,

    * MS Antispyware (la mise à jour du soft a été exécutée le week-end dernier),

    * Norton Antivirus, un PC (A) en version 2003 (installation récente donc les MAJ sont encore actives) sur lequelle se trouve ma messagerie (Outlook) et un PC (B) en version Corporate Client Home Edition sur lequel il n'y a pas de messagerie.

    * Le firewall Windows + celui de mon routeur Netgear (je n'ai pas réussi à reparamétrer Zone Alarm après la mise en réseau).

     

    Sur le PC (B), j'ai installé Antivir car j'ai vu qu'à plusieurs reprises vous l'aviez conseillé. En revanche, je n'ai fais aucun paramétrage.

    Quant au PC (A), je voudrais éviter de le surcharger car il est de plus en plus lent, même sans rajouter de logiciels. Je me demande si un petit coup de E-Cleaner pourrait "l'accélérer" un peu.

     

    Bonne soirée.

     

    Cyril7000

  8. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonjour à tous,

     

    Après avoir rédemarrer l'ordi en mode normal à plusieurs reprises, tout semble fonctionner correctement. Je ne sais pas quelle manipulation a été efficace puisque j'en ai enchaîné plusieurs en mode sans échec mais, en tout cas, ça a résolu mon problème (+ un autre qui était une page internet "k-the-fbi-got-my-info" qui s'affichait à chaque démarrage).

     

    Merci à tous. :P

  9. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonsoir,

     

    J'ai essayé de créer un batch en recopiant les lignes que tu m'as proposé (Ipl_001).

     

    J'ai également téléchargé pskill et est installé pskill.exe sur le bureau avec le batch.

    Si j'exécute pskill.exe, rien ne se passe.

    Si j'exécute le batch, j'obtiens une fenêtre de commande DOS et une fenêtre "sous-système MS-DOS 16 bit : c:\...\hpsebc08.exe. C:\windows\system32\autoexec.nt. Le fichier système ne convient pas à l'exécution des applications MS-DOS ou Microsoft Windows" Et j'ai 2 boutons "ignorer" et " fermer" qui donne le même résultat.

     

    Faut-il installé ces 2 exécutables dans un emplacement précis ?

    Mon batch est-il faux ?

  11. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e) · Modifié par Cyril7000

    Merci Tesgaz pour la modif du fichier. Je l'ai fait de mon côté mais je n'ai pas obtenu grand succès (il me semble que j'avais tout rectifié pourtant).

     

    Je l'ai donc fait manuellement (pendant que tu postais les modif du fichier). Comme dis dans mon post précédent, green.exe ne se trouve plus au même endroit que la dernière fois. J'ai éteint le PC entre la mise en ligne du rapport de la BDR et la manip que j'ai fait : peut-être est-ce dû à celà. Je vais laisser mon PC infecté en veille jusqu'à demain en attendant votre réponse par rapport à mon post précédent (et oui, il faut bien aller refroidir les neurones).

     

    Pour l'instant, je reste en mode sans échec administrateur en attendant que l'on finisse le ménage. Je ne veux pas "relancer" un/le fichier infectieux sur la machine et nous obligé à recommencer.

     

    Bonne nuit.

     

    Cyril

  12. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Je viens de regarder "manuellement" dans la base de registre.

     

    Dans les 3 premières clés, il n'y a pas de C:\WINDOWS\system32\green.exe

    La 4è n'exite pas mais j'ai : [HKEY_USERS\S-1-5-21-57989841-117609710-839522115-500\Software\Microsoft\Search Assistant\ACMru\5603]

    "000"=- ; (=> Différence notée en gras)

     

    En revanche, en faisant une recherche dans la BDR, j'ai green.exe qui apparait ailleurs :

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MuiCache

    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MuiCache

     

    A priori, ce sont les 2 seuls. Faut-il les enlever manuellement ?

     

    D'autre part, j'ai essayé de fusionner le fichier dans la BDR après avoir remplacer \\ par \ mais je n'ai pas eu plus de succès.

  15. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Re-bonsoir Ipl_001

     

    double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

     

    J'ai créé le fichier. Quand je l'exécute (je suis toujours en mode sans échec administrateur), j'ai :

    * une première fenêtre "Editeur du registre" : Voulez-vous vraiment ajouter les informations contenues dans c:\...\regfix-gm.reg (sur le bureau) => je clique sur OK,

    * une deuxième fenêtre "Editeur du registre" : Impossible d'importer c:\...\regfix-gm.reg : le fichier spécifié n'est pas un script du registre. Vous pouvez uniquement importer des fichiers du registre binaires à partir de l'éditeur du registre.

     

    Que dois-je faire. :P

  17. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonsoir Tesgaz,

     

    Merci de t'être penché sur mes les rapports ci-dessus.

     

    Je sortis les 2 infos que tu me demandais (désolé de ne pas les avoir transmis plus tôt mais le week-end était chargé et je n'ai pas allumé les PC) :

     

    Le rapport Hijackthis :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 22:40:26, on 20/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

    R3 - Default URLSearchHook is missing

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Le fichier system.ini :

     

    ; for 16-bit app support

     

    [drivers]

    wave=mmdrv.dll

    timer=timer.drv

     

    [mci]

    [driver32]

    [386enh]

    woafont=app850.FON

    EGA80WOA.FON=EGA80850.FON

    EGA40WOA.FON=EGA40850.FON

    CGA80WOA.FON=CGA80850.FON

    CGA40WOA.FON=CGA40850.FON

     

    A noter que je n'ai pas pu exécuter sysedit. J'obtiens le message d'erreur :

    * titre de la fenêtre : "sous-système Windows 16 bits"

    * message : "c:\windows\system32\autoexec.nt. Le fichier ne convient pas à l'exécution des applications MS-DOS ou Microsoft Windows".

    J'ai donc recherché le fichier et l'ai trouvé dans C:\windows. Je pense que c'est le bon.

     

    Pour l'instant, je n'ai pas redemarré l'ordinateur infecté en mode normal. J'attend ton analyse et ton avis avant de le faire.

  19. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Ipl_001,

     

    Voici le rapport de Registry Search (je suis resté en mode sans échec pour l'analyse) :

     

    REGEDIT4

     

    ; Registry Search by Bobbi Flekman

    ; Version: 1.0.1.4

     

    ; Results at 18/06/2005 00:54:49 for strings:

    ; 'green.exe'

    ; Strings excluded from search:

    ; (None)

    ; Search in:

    ; Registry Keys Registry Values Registry Data

    ; HKEY_LOCAL_MACHINE HKEY_USERS

     

     

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

    "C:\\WINDOWS\\system32\\green.exe"="C:\\WINDOWS\\system32\\green.exe:*:Disabled:green"

     

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

    "C:\\WINDOWS\\system32\\green.exe"="C:\\WINDOWS\\system32\\green.exe:*:Disabled:green"

     

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

    "C:\\WINDOWS\\system32\\green.exe"="C:\\WINDOWS\\system32\\green.exe:*:Disabled:green"

     

    [HKEY_USERS\S-1-5-21-57989841-117609710-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]

    "000"="green.exe"

     

    ; End Of The Log...

  20. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Stonangel,

     

    Je viens de finir Ewido. Je te joins le rapport :

     

    ---------------------------------------------------------

    ewido security suite - Rapport de scan

    ---------------------------------------------------------

     

    + Créé le: 00:46:30, 18/06/2005

    + Somme de contrôle: A1508A8A

     

    + Date des signatures: 17/06/2005

    + Version du moteur de recherche: v3.0

     

    + Temps: 29 min

    + Fichiers scannés: 59315

    + Vitesse: 33.34 Fichiers/Secondes

    + Fichers infectés: 1

    + Fichiers supprimés: 1

    + Fichiers mis en quarantaine: 1

    + Fichiers ne pouvant pas être ouverts: 0

    + Fichiers ne pouvant pas être nettoyés: 0

     

    + Liés: Oui

    + Cryptés: Oui

    + Archives: Oui

     

    + Elements scannés:

    C:\

     

    + Résultats du scan:

    C:\Documents and Settings\Lucile\Cookies\lucile@search.msn[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

     

     

    ::Fin du rapport

     

    Voici le rapport Hijackthis :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 00:47:52, on 18/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Au fait, comment fonctionne ABIremover. Je n'ai pas d'icone et on ne l'a utilisé nul part.

  21. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e) · Modifié par Cyril7000

    J'ai lancé une recherche de green.exe sur C:

    La réponse obtenue est "la recherche est terminée. Il n'y a aucun résultat à afficher".

    J'ai pourtant activer la case "afficher les dossiers et fichiers cachés"

     

    Concernant la base de registre, j'ai un green.exe dans :

    HKEY_CURRENT_USER\Software\Microsoft\Search assistant\ACMru\5603 (à noter que dans la partie droite, parmi les différentes lignes, j'ai aussi un issrv.exe sur lequel ipl_001 m'a fait "travaillé" hier soir).

     

    En fait, en poursuivant la recherche, il y a l'air d'en avoir plusieurs dans la base de registre.

     

    Que faut-il en faire ? (J'ai passé ecleaner hier soir)

  22. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    tu as demarrer en mode sans echec pour supprimer :

    C:\WINDOWS\system32\green.exe ?

     

    et fixer la ligne :

    F2 - REG:system.ini: Shell=Explorer.exe green.exe

    519550[/snapback]

     

     

    Bonsoir Tesgaz,

     

    Je suis passé en mode sans échec. J'ai supprimé le fichier green.exe (qui était dans C:\WINDOWS\prefetch\) puis j'ai lancé Hijackthis pour fixer la ligne. J'ai fait un essai en quittant Hijackthis de le rouvrir et de lui faire faire un nouveau scan : la ligne est réapparue. Je la fixe de nouveau, je sors, je scan, et rebelote... ?

  24. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Bonsoir à tous,

     

    Je viens de refaire la même manip mais en étant en mode sans échec. Le résultat reste le même.

     

    J'ai refait un rapport Hijackthis :

     

    Logfile of HijackThis v1.99.1

    Scan saved at 20:25:08, on 17/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Ahead\InCD\InCDsrv.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\PROGRA~1\SYMANT~1\DefWatch.exe

    C:\WINDOWS\system32\cba\pds.exe

    C:\PROGRA~1\SYMANT~1\Rtvscan.exe

    C:\WINDOWS\system32\cba\xfr.exe

    C:\WINDOWS\system32\MsgSys.EXE

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\green.exe

    C:\PROGRA~1\SYMANT~1\vptray.exe

    C:\WINDOWS\system32\RunDll32.exe

    C:\WINDOWS\system32\VTTimer.exe

    C:\Program Files\Microsoft IntelliPoint\point32.exe

    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    C:\Program Files\QuickTime\qttask.exe

    C:\Program Files\Ahead\InCD\InCD.exe

    C:\Program Files\iTunes\iTunesHelper.exe

    C:\Program Files\Microsoft IntelliType Pro\type32.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\Messenger\msmsgs.exe

    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Program Files\iPod\bin\iPodService.exe

    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Program Files\Hijackthis\HijackThis.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    F2 - REG:system.ini: Shell=Explorer.exe green.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Apparement la ligne "F2 - REG:system.ini: Shell=Explorer.exe green.exe" revient à chaque fois.

     

    Si quelqu'un à une autre astuce, je suis preneur.

     

    Merci d'avance.

  25. [Résolu] Hacktool.rootkit, moi aussi

    dans Analyses et éradication malwares

    Posté(e)

    Je viens d'exécuter killbox.exe.

     

    J'ai fermé tous les programmes et desactivé la protection automatique de MS Antispyware et de NAV (en bas à droite vers l'heure). Puis j'ai lancé Killbox en suivant tes recommandations.

     

    Au redémarrage, MS Antispyware s'était réactivé mais pas NAV. Je l'ai donc réactivé manuellement et la notification de NAV est revenue.

     

    Je ne me suis pas mis en mode sans échec : peut-être celà a-t-il eu une influence ?

    Le PC infecté reste déconnecté d'internet en permanence puisque je l'ai débranché du routeur. Je tranfère tous les fichiers via une clé USB.

     

    Je remet un rapport Hijackthis avant d'aller refroidir mes neurones quelques heures : :P

     

    Logfile of HijackThis v1.99.1

    Scan saved at 00:54:37, on 17/06/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

     

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Ahead\InCD\InCDsrv.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\PROGRA~1\SYMANT~1\DefWatch.exe

    C:\WINDOWS\system32\cba\pds.exe

    C:\PROGRA~1\SYMANT~1\Rtvscan.exe

    C:\WINDOWS\system32\cba\xfr.exe

    C:\WINDOWS\system32\MsgSys.EXE

    C:\WINDOWS\Explorer.exe

     

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

    F2 - REG:system.ini: Shell=Explorer.exe green.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

    O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

    O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

     

    Merci pour ton aide.

×
×
  • Créer...