[Resolu] Hijack sur le pc de ma mère

[Gof]

Bonsoir TA-K-2-PT

 

Navré pour la réponse tardive, difficile de concilier la vie de forums et la vie tout court en semaine

 

On va regarder ça. Peux tu poster un nouveau rapport Hijackthis ?

 

edit : tes captures ne sont pas exploitables pour moi. Elles sont réduites par défaut, vu ma faible résolution d'écran (1024x768) et ne sont pas agrandissables. Il me faut alors les télécharger et les visionner en local pour pouvoir les agrandir. Préfère un hébergeur d'images te permettant d'inclure une miniature pour forum, avec lien BBcode préinséré renvoyant sur l'image en taille normale, (tout en prenant soin d'éviter les hébergeurs trop intrusifs publicitairement comme imageshack) comme par exemple pixnofrag.

=>

 

REEDIT : en regardant tes captures, il me semble qu'il semble plus d'un souci de gestion des scripts via Noscript. Autorise Dailymotion.com dans Noscript afin d'essayer ensuite d'afficher directement une page voir si le souci persiste.

[TA-K-2-PT]

Salut Gof,

 

alor l'exple de daylimotion n'est q'un exple,c'est effectivement dut peut etre a No Script.

 

Par contre ce que j'ai remarqué c'est que je lance firefox.Dans le gestionnaire de tache firefox plante,le processus "ne repond pas".

 

Puis il remarche "en cours d'execution" et la j'ai cette page:

 

http://pix.nofrag.com/f/1/6/cf5ec690a5beaa...c621227c81.html

 

Je ne sait pas si ça t'aide.

 

-mon Rapport HJT :

 

 

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:25:23, on 10/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira Premium Security Suite\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Avira Premium Security Suite\avfwsvc.exe

C:\Program Files\Avira Premium Security Suite\avesvc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Avira Premium Security Suite\avmailc.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\Program Files\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (disabled by BHODemon)

O4 - HKLM\..\Run: [AS00_Netgear] C:\Program Files\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira Premium Security Suite\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avfwsvc.exe

O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avmailc.exe

O23 - Service: Avira Premium Security Suite Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\sched.exe

O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avguard.exe

O23 - Service: Avira Premium Security Suite MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avesvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 6531 bytes

 

 

Merci de ton aide,mais comme je l'ai dit mon précédent post,peut être que sa ne donnera rien.Car ce n'est peut etre pas un Hijack.

 

Sinon je me suis reconnecté a Daylimotion (sans toucher a No Script et la sa marche nikel).

Je te met le lien de la connection que je vient de faire.

Rien d'anormal,certaine image sont bloquées du a No Script,mais rien a voir avec les 1er screen de mon post précédent.

 

-connection a l'instant:

 

http://pix.nofrag.com/2/f/e/80c02958b76d41...f344a4d5f7.html

 

@++++

 

PS: je prefere te mettre le lien car j'ai parmit tous mes problemes,aussi le fait que je ne voit pas forcément le screen que je viens de mettre dans mes posts.

 

Donc je ne sait pas si c'est le bon (avec les bon BBcode).

Modifié le 10 novembre 2007 par TA-K-2-PT

[Gof]

Bonsoir TA-K-2-PT

 

Rien d'inquiétant dans ton rapport. Juste une vérification : est-ce toi, via Spybot certainement et son Teatimer, qui a apporté une restriction registre ?

 

Je ne vois pas bien d'où pourrait venir ton souci, peut être du navigateur en lui même, ou d'une extension qui poserait problème. Assure toi que tes extensions soient à jour, le navigateur également. Si le souci persiste, tu as dans le menu Démarrer>tous les programmes>Mozilla une option de démarrage "SafeBoot", c'est à dire Firefox sans aucune extension, par défaut.

 

Il faudrait alors constater si là encore le souci est présent ou non.

[TA-K-2-PT]

Salut Gof,

 

Alor effectivement le restriction du registre c'est moi qui l'ai fait c'est celle de AVG.

 

Ensuite en mode sans echec de firefox en desactivant toutes les extensions,en en cochant toutes les case pour que tous soit par defaut.

 

firefox ne plante pas (mais j'ai essayer q'une seul fois,et sa ne le fait pas a chaque fois),par contre mon firwall me demande plusieur fois si j'accepte la connection.Apparement elle a du mal a se faire.

 

Et je finit par arriver sur la page "Server introuvable" comme le screen de mon précédent post.

 

En fait c'est comme si chaque connection entrante et sortant etait avant d'etre validée,"téstée","vérifiée",car a force de recharger la page je finit par aceder a google ou au site voulu.

 

Bon voila je vais vous dire ce que apres environ 3 semaine de test (a mon nivo),mes hypothèses.

 

1er: Mon FAI qui a restreint la connection

 

2nd: on m'as hacker mon wi-fi,mais je pense pas car j'ai verifié si il y a des connection wi-fi dans le voisinage aucune connection.

 

3eme: quelqu'un a infiltrer le pc de mon frere (qui ne se protege pas suffisament) et a deposé une bestiole.

 

4eme: vu que sa part et sa revient sa peut etre un hook (il me semble avoir lu qu'un hook peut permetre d'activer un truc a distance).

 

5eme: une bestiole dont la signature a etait modifié.

 

Ce que je peut dire c'est que TCP view ne montre rien d'anormal,j'ai vu la cmd netstat -abnov rien non plus.

Tous mes scan et verification de fichier suspect,rien.

 

Bref,est ce que c'est possible que l'un des pc sur le wi-fi ou meme le routeur directement soit victime d'une infection qui du coup ralenti la connection ?

 

Actuelement je n'arrive pas a savoir d'où ça vient et surtout comment résoudre le blem.

 

Merci

 

@++++

 

PS: si vraiment vous qui connaissez bien l'informatique,vous ne voyez pas de solution.J'arreterais de demander car j'ai quand meme posé la question a pas mal de gens du forum.

 

Donc je veut pas non plus bouffer le temp des gens.

 

PS²: plus de 15 tentative pour envoyer le message modifier sa devient grave là

Modifié le 11 novembre 2007 par TA-K-2-PT

[Gof]

Bonsoir TA-K-2-PT

 

Alors voici mes hypothèses :

• -1. Tu as la suite Avira Premium Security Suite, que je ne connais pas (car payante). Je pense à un souci de configuration au niveau de la suite, notamment au niveau du pare-feu.
  - 2. Tu as la présence d'une fonction liée à Nvidia, pouvant occasionner un "doublonnage" de pare-feu : présent en service :

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

Tu dois avoir la possibilité, via le Panneau Ajout/Suppression de programmes, sur la ligne 'NVIDIA (drivers)' ou quelque chose s'en rapprochant, la possibilité de désinstaller NVIDIA ForceWare Network Access Manager.
-3. S'il y a plusieurs PC sur un même réseau, peut être que des tâches en fond sont gourmandes de bande passante 'P2P, etc).
-4. Eventuellement un souci plutôt qu'une restriction du côté du FAI, mais cela me semble improbable vu les symptômes.

Je ne crois pas ce souci d'origine infectieux. Rien ne semble le laisser entendre. Regarde bien du côté 1 et 2 surtout, les soucis viennent peut-être bien de là.

 

EDIT : pense à créer un point de restauration afin de pouvoir restaurer en cas de soucis suite à une manipulation.

[TA-K-2-PT]

Salut,

 

Alor j'ai bien déinstallé NVIDIA ForceWare Network Access Manager, de toute façon ça ne servait a rien.

 

Ensuite j'ai verifié mon firewall et avira en general,rien ne me semble mal configuré.En plus les problèmes de connection sont arrivés alors que les configuration de celui ci etait deja faite,et n'ont pas etait changée.

 

Puis le routeur n'est pas sur mon pc donc je ne voit pas comment une possible mauvaise configuration de mon firewall,aporterait les meme probleme sur les 3 pc chez moi (ma mere,mon frere et moi).

 

Ils ont les meme symptomes sur leur pc.

 

Pour le P2P, mon frere et moi l'utilisont tres peu,et ma mere jamais.

 

Je pense donc que c'est au niveau du FAI,je comptais de toutes façon les apeller.

 

Sinon j'ai vu que mon firewall m'afficher une fenetre pour SSM pour le fichier psapi.dll

 

Je supose une MAJ.Le truc c'est que ces problèmes de connection ne touche pas que le surf.

Sa touche toutes la connection,donc meme les MAJ diverse doivent etre faite manuelement,sinon elle ne se font pas.

 

Donc est ce possible de mettre a jour manuelement SSM (je vais allé voir ça juste apres).

 

Merci gof pour ton aide,si tu as d'autre suggestion je veut bien.

 

@+++

 

PS: ha pardon j'oubliais le principal,les problemes de connection sont toujours là (sur les 3 pc).J'arrive toujours sur la page "Server introuvable".

Et je doit recharger la page plusieurs fois,meme pour envoyer mon post.

 

En fait tout ce qui touche la connection est ralenti voir bloqué.

Modifié le 11 novembre 2007 par TA-K-2-PT

[TA-K-2-PT]

(Je cré un autre post pour faire un pavé)

 

Je vient de faire une recherche sur le fichier psapi.dll,il ne semble pas lié a SSM.

 

Pourtant mon firewall m'indiquer qu'il venait de cette aplication.J'ai refusé (pas de maniere definitve).

 

Au autre démarrage mon firewall ne me demande plus pour ce fichier.

 

En plus SSM n'as pas de MAJ disponible comme le montre ce screen :

 

http://pix.nofrag.com/b/0/6/6e0e3523138200...841758568e.html

 

Ensuite quand je me déconnecte du wi-fi puis me reconnecte,j'ai ce petit icone :

 

http://pix.nofrag.com/a/1/1/86144645820d12...fe9ded3e65.html

 

Je doit rebooter,pour que la connection redevienne normal.

 

Là honnetement je suis perdu.

 

@++++

 

Complement :

 

Le fichier psapi.dll est present dans system 32

 

et quand j'essaye de le scanner sur virustotal, voila ce que j'ai comme reaction :

 

http://pix.nofrag.com/2/0/d/0fd02b9c618ff1...6dcea0b2c5.html

 

Sa bloque....

 

PS: pour up un screen ,pour envoyer mon post ,pour faire mes MAj ect ect,il me faut au minimum faire plus 7 tentative...

Modifié le 11 novembre 2007 par TA-K-2-PT

[Gof]

As-tu fait des essais en désactivant complétement SSM ?

[TA-K-2-PT]

Je vient de faire 3 test,2 avec SSM et 1 sans.

Le tout avec TCPview pour voir.

 

Les 2 1er fois la connection passe sans arret du vert au rouge (elle s'etablit,puis coupe,puis s'etablit,puis coupe).

Jusqu'au moment ou la connection se perd,avant la fin de l'analyse.

 

Sans SSM la connection est perdu dès le depart.

 

Ce problème est un veritable danger pour la securité,vu que toutes MAj,notament programme de secu et windows update.

Se font tres difficilement voir pas du tous.

 

PS:juste pour préciser dans TCPview la connection a virustotal est sou le nom de : viruskill2.hispasec

Je sait pas si sa peut t'aider mais bon.

Modifié le 11 novembre 2007 par TA-K-2-PT

[Gof]

Re

 

PS:juste pour préciser dans TCPview la connection a virustotal est sou le nom de : viruskill2.hispasec

Je sait pas si sa peut t'aider mais bon.

Pas de soucis avec ça, c'est normal.

 

Sans SSM la connection est perdu dès le depart.

Refais plusieurs essais, mais si cela son confirme il y a peut-être un souci alors avec SSM. En ce cas, je te suggérerais de tenter une déinstallation complète et d'aviser voir si le souci persiste.