probleme de dowmload/upload intempestifs + log Hijackthis

[S.Birkoff]

Bonjour austrourson,

 

Un énoooorme merci!!!

 

Non non, je n'ai même pas pensé à te faire installer un Firewall....hier c'était vraiment MA journée. Désolé.

 

J'ai enfin trouvé la/les bestioles en jeu. J'espère qu'il n'y a qu'elles, car elles ne sont vraiment pas commodes.

 

Bon, à l'attaque !

 

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
  
• Extraire avenger.exe sur votre bureau
  

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

Drivers to unload:

ntio256

 

Files to delete:

C:\WINDOWS\system32\protector.exe

C:\WINDOWS\system32\ntio256.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
  
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  
• Cliquer Done
  
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  
• Répondre "Yes" deux fois quand demandé.
  

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
  

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

 

Comme dit plus haut, ton système risque de redémarrer 2 fois : la première pour décharger le driver, la seconde pour supprimer les fichiers.

 

 

Birkoff

[austrourson]

alors j´ai fait les manip ce midi mais j´ai oublié les logs chez moi!

 

cela dit, ca a très bien fonctionné d´après la log de "The Avenger" (processus arreté + les 2 fichiers supprimés).

ZA ne me donne plus aucune alerte de tentative de connexion.

La log HiJackThis me semble on ne peut plus clean.

 

Ma connexion fonctionne tout à fait normalement après un petit reset du routeur. Pour le moment je n´ai connecté que mon PC. Je vais vérifier que celui de ma copine ne possède aucune infection avant d´activer le wireless.

 

Merci encore mille fois pour tes précieuses instructions. Il faudra me donner ton adresse pour la bouteille de champ´!

[S.Birkoff]

Bonjour austrourson,

 

Content que la manip est marchée, mais prudence :

 

-> vérifie les prochains jours que aucun symptome ne revient.

-> Poste moi le log de Avenger je te prie

 

Une fois cela fait, il faudra s'occuper du plus important : sécuriser mieux ton/tes machines pour que ce genre de choses ne revienne plus (ta copine appreciera ).

 

Bonne journée

Birkoff

PS : Merci pour le champagne, mais je n'accepte que des "merci" et des "j'ai sécurisé mon pc" en retour

Modifié le 12 octobre 2006 par S.Birkoff

[austrourson]

ok! pour la sécurisation du PC, c´est en cour.

J´ai installé le SP2 et je vais lancer les mises à jour ce soir - dans la limite des Mo qu´il me reste en download!

 

ZA est déjà là. AVG anti spy aussi. Le routeur wireless filtrera sur les adresses MAC.

J´ajouterai un anti-virus, Avast ou AVG je ne sais pas encore.

Plus la protection contre les spi

 

Et avec tout ca, j´espère qu´il sera bien blindé.

[S.Birkoff]

Re,

 

Et le log de Avenger s'il te plait !

 

Pour bien t'y retrouver dans la sécurisation, tu peux t'aider de ce dossier

 

Bonne aprem et bon surf

Birkoff

[austrourson]

Hello,

 

Je te posterai le log Avenger ce soir, quand je rentrerai du boulot.

 

Merci pour le dossier, je vais effectivement m´en inspirer.

 

Et tu es sur pour le champagne? ca peut aussi etre une spé autrichienne!

[austrourson]

Comme promis,

 

voici les logs:

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\fcuroqdr

 

*******************

 

Script file located at: \??\C:\Program Files\cejjtlrt.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Driver ntio256 unloaded successfully.

File C:\WINDOWS\system32\protector.exe deleted successfully.

File C:\WINDOWS\system32\ntio256.sys deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:22:03, on 12/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\M-Audio\Install\EvoInst.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

F:\a graver\securite\scan.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

 

MERCI ENCORE

[S.Birkoff]

Bonsoir austrourson,

 

Bon bon, tout est ok. Si tu ne compte pas refaire de scan en ligne avec Panda ou Trend Micro, tu peux cocher et fixer ces lignes :

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

On va enlever les outils dont on s'est servit (aucun interet pour toi voire franchement dangereux) :

 

-> Supprime le dossier Avenger ainsi que l'archive téléchargé

-> Tu peux garder Blacklight et ATF Cleaner si tu veux

-> Supprime LQFix.exe

 

Voilà voilà, si tu as des questions concernant ta sécurisation n'hésite pas.

 

Bonne soirée

Birkoff

PS : Les gardiens d'Ewido se désactiveront dans 30 jours. Tu peux garder Ewido comme scanner hebdomadaire/mensuelle.

PS2 : Merci encore pour le champagne, mais je reste fidèle à mes principes...et au champagne français