Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

generic.botget Hijackthis

tackent

Par tackent
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Misère!! il est vraiment collant celui là!! je me renseigne sur une technique pour le virer définitivement et je te poste une réponse :en attendant, élimine le fichier suivant si tu trouves => c:\winnt\system32\ii

 

Stp , fais ce test de sécurité (c'est rapide!) et poste le rapport :il s'agit d'un test de firewall , j'ai l'impression qu'il n'eest pas configuré comme il faut =>

 

http://www.zebulon.fr/outils/scanports/test-securite.php

 

@ toute à l'heure

Modifié par charles ingals

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut Tackent :P

 

Est ce que tu as réessayé? c'est bizarre que ca ne marche pas...

Sinon, rend toi sur la page suivante => http://www.grc.com/x/ne.dll?rh1dkyd2

et clique sur le bouton Common Ports . Le test va démarrer et en quelques secondes tu devrais

voir apparaitre le résultat : sous la colonne "Status" le résultat doit être Closed ou Stealth (ce qui est mieux!) Si un ou des ports sont détectés comme ouverts, copie et colle le rapport ici stp.

 

En faisant ca, je veux en fait m'assurer que ton parefeu est bien configuré, et qu'il n'y ait aucun port ouvert :il est important que les ports dits critiques de ton pc soient invisibles (stealth) depuis le réseau et fermés.

Les hackers utilisent certains de ces ports pour pouvoir infecter le pc , on va s'en assurer.

 

@+ tard

 

ps: si tu as le temps, reposte moi stp un nouveau rapport silentrunners.

Modifié par charles ingals
tackent Member

tackent

Posté(e)
  • Auteur
Posté(e)

Salut,

 

Je ne trouve pas le bouton sur ce site. N'a-t-il par hasared pas changé ??

 

J'ai re essayer le test de secu .. meme chose qu'avant, il patauge ds la semoiule !!

 

Voici le rapport silent :

 

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/

Operating System: Windows 2000

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"SiS Tray" = "C:\WINNT\system32\sistray.EXE" ["Silicon Integrated Systems Corporation"]

"Share-to-Web Namespace Daemon" = "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]

"BDMCon" = ""C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg" ["SOFTWIN S.R.L."]

"BDAgent" = ""C:\Program Files\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."]

"!AVG Anti-Spyware" = ""C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

"Synchronization Manager" = "mobsync.exe /logon" [MS]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

-> {HKLM...CLSID} = "AcroIEHlprObj Class"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"

-> {HKLM...CLSID} = "Display Panning CPL Extension"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]

"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"

-> {HKLM...CLSID} = "Shell Extension for CDRW"

\InProcServer32\(Default) = "C:\Program Files\Ahead\InCD\incdshx.dll" ["Nero AG"]

"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"

-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"

\InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"

-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"

\InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {HKLM...CLSID} = "Outlook File Icon Extension"

\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~1\Office\OLKFSTUB.DLL" [MS]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"

-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\

<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]

 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"

-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"

\InProcServer32\(Default) = "C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

-> {HKLM...CLSID} = "CContextScan Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

-> {HKLM...CLSID} = "CContextScan Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

 

Note: detected settings may not have any effect.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000

{User Configuration|Administrative Templates|System|

Disable registry editing tools}

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "F:\2004_06_25\IMG_0785.JPG"

 

 

Startup items in "Dorella" & "All Users" startup folders:

---------------------------------------------------------

 

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

"hp psc 2000 Series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]

"officejet 6100" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe" ["Hewlett-Packard Co."]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 27

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"

-> {HKLM...CLSID} = "Yahoo! Toolbar"

\InProcServer32\(Default) = "blank" [file not found]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)

-> {HKLM...CLSID} = "Yahoo! Toolbar"

\InProcServer32\(Default) = "blank" [file not found]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\

"ButtonText" = "Spyware Doctor"

"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"

-> {HKLM...CLSID} = "PCTools Browser Monitor"

\InProcServer32\(Default) = "blank" [file not found]

 

{85D1F590-48F4-11D9-9669-0800200C9A66}\

"MenuText" = "Uninstall BitDefender Online Scanner v8"

"Exec" = "%windir%\bdoscandel.exe" [null data]

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]

BitDefender Communicator, XCOMM, ""C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"]

BitDefender Desktop Update Service, LIVESRV, ""C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."]

BitDefender Scan Server, bdss, ""C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]

BitDefender Virus Shield, VSSERV, ""C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."]

InCD Helper, InCDsrv, "C:\Program Files\Ahead\InCD\InCDsrv.exe" ["Nero AG"]

PC Tools Spyware Doctor, SDhelper, "C:\Program Files\Spyware Doctor\sdhelp.exe" ["PC Tools Research Pty Ltd"]

WZCBDL Service, WZCBDLService, ""C:\Program Files\WZCBDL Service\WZCBDLS.exe"" ["D-Link"]

 

 

Print Monitors:

---------------

 

HKLM\System\CurrentControlSet\Control\Print\Monitors\

hpzlnt05\Driver = "hpzlnt05.dll" ["HP"]

 

 

----------

<<!>>: Suspicious data at a malware launch point.

 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 77 seconds, including 18 seconds for message boxes)

 

 

Oh rage, oh desespoir ....

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut tackent :P

 

On va essayer ailleurs :

 

Rend toi à l'adresse suivante et sous le menu "Test Your System" (sur la gauche), clique sur "Advanced Port Scanner".

Une nouvelle page s'affiche : va en bas de la page et clique sur "Start Test".

A la page suivante clique sur "Continue".Deux autres pages vont s'afficher : "Advanced Port Scanner Type" puis "Advanced Port Scanner Settings" , à chaque fois clique sur "continue" et laisse les réglages par défaut.

Le scan va démarrer, cela prendra quelques minutes ; sélectionne puis copie/colle le résultat dans ta prochaine réponse.

 

Excuse moi d'insister lourdement, mais c'est important! Par ailleurs, fais une vérification quant au paramétrage du pare-feu Bitdefender.Pour cela, aide toi du document suivant => https://www.mailsoft.fr/docs/editions-profi...security_10.pdf

c'est un document au format pdf avec des captures d'écran.Il faut trouver dans les options de Bitdefender le menu "Pare-Feu".Puis dans le panneau, sélectionne l'onglet "Avancé". Dans "paramètres" en bas de page, clique sur la case => "Mode Furtif".(pour que le pc ne soit plus visible du dehors)

 

Est ce que les alertes persistent? le rapport posté est propre.

Allez, essaie ca et tiens moi au courant :P

tackent Member

tackent

Posté(e)
  • Auteur
Posté(e)

Salut,

 

Entre temps, j'ai fermé le port ftp et interdit l'acces a 2 programmes inconnus qui etaient autorisés par le firewall.

 

Voici le resultat:

135 stealthed RPC Remote Procedure Call (RPC) is used in client/server applications based on MS Windows operating systems

137 stealthed NETBIOS Name Service NetBios is used to share files through your Network Neighborhood

138 stealthed NETBIOS Datagram Service NetBios is used to share files through your Network Neighborhood

139 stealthed NETBIOS Session Service NetBios is used to share files through your Network Neighborhood

21 closed FTP File Transfer Protocol is used to transfer files between computers

23 closed TELNET Telnet is used to remotely create a shell (dos prompt)

80 closed HTTP HTTP web services publish web pages

1080 closed SOCKS PROXY Socks Proxy is an internet proxy service

1243 closed SubSeven SubSeven is one of the most widespread trojans

3128 closed Masters Paradise and RingZero Trojan horses

12345 closed NetBus NetBus is one of the most widespread trojans

12348 closed BioNet BioNet is one of the most widespread trojan

27374 closed SubSeven SubSeven is one of the most widespread trojans

31337 closed Back Orifice Back Orifice is one of the most widespread trojans

 

 

Le lien https://www.mailsoft.fr/docs/editions-profi...security_10.pdf ne focntionne pas et je ne trouve rien sur le site correspondant.

J'ai aussi regardé dans la doc de bitdefender, rien a propos du "Mode furtif" ...

.

tackent Member

tackent

Posté(e)
  • Auteur
Posté(e)

Hello,

 

Bitdefender continue toujours a me bloquer des exe, tel que ii ou recsl.exe, ou salvage.exe .. ca depend de l'humeur. Il doit y avoir quelque chose qui reactive et copie ces programmes sous c:\winnt\system32...

Ca devient enervant !!

 

Pov' today qui se bat contre le mechant virus (ou troyens)

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut tackent :P

 

Entre temps, j'ai fermé le port ftp et interdit l'acces a 2 programmes inconnus qui etaient autorisés par le firewall.

ok si je comprend bien le port 21 a été détecté comme ouvert et tu l'as fermé par la suite, c'est bien ca?

Si jamais tu as besoin du port ftp, assure toi bien que seules certaines IPs soient autorisées à se connecter à ton pc et que ces IP ne puissent accéder qu'au répertoire que tu auras déterminé.

 

Les résultats de la vérification des ports n'est pas mauvais! Certains ports sont détectés comme fermés: il aurait été préférable qu'ils soient notés "stealthed", ce qui veut dire qu'ils ne sont pas visibles du dehors. C'est pour cela que je te demandais de vérifier si tu trouves l'option "mode furtif" dans les paramètres du pare-feu Bitdefender : pour rendre ton pc invisible lorsque tu es connecté.

Désolé pour l'adresse que je t'ai indiqué : elle ne mène plus au tuto concernant Bitdef....

 

Bon, manifestement les problèmes demeurent... on va continuer les recherches si tu veux bien avec un autre outil car le précédent rapport fait avec silentrunners ne montre rien =>

 

Télécharge RootkitRevealer de Sysinternals et dézippe l'archive dans un dossier de ton choix.

Ouvre le programme et clique sur le bouton "scan".Ne fais rien d'autre avec le pc pendant ce temps.

Sélectionne ce qui a été trouvé, et poste le rapport stp dans ton prochain message.

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

@+ tard et courage :P

tackent Member

tackent

Posté(e)
  • Auteur
Posté(e)

Salut,

 

Alors voici le rapport RootKitRevealer:

 

C:\Documents and Settings\Dorella\Local Settings\Temp\status.ini 05.11.2006 17:25 466 bytes Visible in Windows API, but not in MFT or directory index.

 

 

 

Rapport combofix:

 

 

Dorella - dim. 05.11.2006 20:02:48.31 Service Pack 4

ComboFix 06.10.19 - Running from: "C:\antivirus\ComboFix"

 

((((((((((((((((((((((((((((((( Files Created from 2006-10-05 to 2006-11-05 ))))))))))))))))))))))))))))))))))

 

 

2006-10-18 18:15 3,968 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys

2006-10-18 18:10 20,640 --------- C:\WINNT\system32\drivers\PxHelp20.sys

2006-10-18 18:10 109,568 --------- C:\WINNT\system32\pxinsi64.exe

2006-10-18 18:10 108,544 --------- C:\WINNT\system32\pxcpyi64.exe

2006-10-08 12:13 51,072 --a------ C:\WINNT\system32\drivers\ikhlayer.sys

2006-10-08 12:13 30,592 --a------ C:\WINNT\system32\drivers\ikhfile.sys

2006-10-07 14:43 11,520 --a------ C:\WINNT\system32\drivers\pxscrmbl.sys

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2006-10-30 22:38 -------- d-------- C:\Program Files\VoipCheapCom

2006-10-18 18:15 -------- d-------- C:\Program Files\Grisoft

2006-10-18 18:15 -------- d-------- C:\Documents and Settings\Dorella\Application Data\DivX

2006-10-18 18:10 -------- d-------- C:\Program Files\DivX

2006-10-08 12:13 -------- d-------- C:\Program Files\Spyware Doctor

2006-10-08 12:13 -------- d-------- C:\Documents and Settings\Dorella\Application Data\PC Tools

2006-10-08 12:12 -------- d-------- C:\Documents and Settings\Dorella\Application Data\Talkback

2006-10-02 21:04 806912 --a------ C:\WINNT\system32\divx_xx0c.dll

2006-10-02 21:04 806912 --a------ C:\WINNT\system32\divx_xx07.dll

2006-10-02 21:04 790528 --a------ C:\WINNT\system32\divx_xx11.dll

2006-10-02 21:04 635486 --a------ C:\WINNT\system32\DivX.dll

2006-09-15 18:42 21840 --a------ C:\WINNT\system32\SIntfNT.dll

2006-09-15 18:42 17212 --a------ C:\WINNT\system32\SIntf32.dll

2006-09-15 18:42 12067 --a------ C:\WINNT\system32\SIntf16.dll

2006-08-11 01:04 73728 --a------ C:\WINNT\system32\dpl100.dll

2006-08-11 01:03 196608 --a------ C:\WINNT\system32\dtu100.dll

2006-08-03 19:02 457 --a------ C:\Program Files\INSTALL.LOG

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries are not shown

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"SiS Tray"="C:\\WINNT\\system32\\sistray.EXE"

"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

"BDMCon"="\"C:\\Program Files\\Softwin\\BitDefender10\\bdmcon.exe\" /reg"

"BDAgent"="\"C:\\Program Files\\Softwin\\BitDefender10\\bdagent.exe\""

"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

"Synchronization Manager"="mobsync.exe /logon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000003

"Settings"=dword:00000001

"GeneralFlags"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

"Flags"=dword:00000002

"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\

00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

"CurrentState"=hex:04,00,00,40

"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\

ff,ff,04,00,00,00

"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\

00,00,01,00,00,00

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

"Windows MS Update 32"="sucker.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000095

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000095

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

Completion time: Sun 2006-11-05 20:06:53.38

C:\ComboFix.txt ... 06-11-05 20:06

 

 

Voila voila, j'espere que ca pourras t'aider. Merci encore et bonne soirée.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut tackent :P

 

Ok les rapports m'aident à y voir plus clair!!

 

tu vas stp commencer par télécharger ces deux patch pour combler des failles dans Windows et les installer : ces mêmes failles utilisées par le malware qui réinfecte ton pc :

MS04-007

 

MS04-011

 

Profite en pour aller faire un tour sur Windows Update et télécharge les mises à jour qui te seront proposées.

 

Le rapport Combofix montre la présence de W32/Forbot-GJ qui est un vers de réseau , pour éliminer le malware, voilà ce que tu vas faire stp:

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"Windows MS Update 32"=-

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: kill.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: fichierreg7bs.gif

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

Étape 2:

 

*Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Elimine le fichier suivant si tu trouves :

 

C:\WINDOWS\System32\sucker.exe

 

*Vide la corbeille.

 

Fais la recherche du fichier suivant :

 

C:\Documents and Settings\Dorella\Local Settings\Temp\status.ini

 

ouvre le fichier et poste en le contenu stp.

 

Poste stp un nouveau rapport avec combofix.

 

Important :

Est ce que tu utilises un logiciel de type mIrc?(Xchat?)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...