Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Problèmes suite à intrusion+mauvais script


oscarnassier

Messages recommandés

Bonjour,

 

Gros problème donc gros post, mais je pense avoir mis tous les détails, ma config'

est en Profil et en Signature.

 

J'ai un gros problème avec mon pc : suite à une intrusion (facile, entièrement de ma faute) par un logiciel de controle à distance "vnc" que j'avais laissé grand'ouvert sans le savoir, j'avais mal lu le 'help' et avait autorisé l'accès par le firewall. Un hacker à dû trouver mon IP en faisant un scan approprié et a, le plus simplement possible, pris le contrôle integral de la machine. Je n'avais pû reprendre la main qu'en faisant un reset.

 

Alors, mon hacker s'est-il ménagé une entrée lors de cette 1ère intrusion et est

revenu plus tard pour faire son sale boulot ? En tout cas, je me retrouve avec un PC bien plombé et c'est d'autant plus rageant que je venais d'optimiser le système et la connexion avec les réglages conseillés par zébulon.fr et que çà marchait au poil (je suis en freeboxé, non-dégrouppé), je venais même de passer en ethernet.

En gros mon problème touche toutes les applications internet : ralentissement général du système dès utilisation de ma connexion (IE, outlook express, windows

messenger). Le cumul des appli internet renforce ce ralentissement.

Des fois, crash (écran bleu) :

 

DRIVER_IRQL_NOT_LESS_OR_EQUAL

"stop 0x000000D1 (0X00000000,0x00000002,0x00000000,0xEB9E7E90) AFD.SYS"

 

Description du ralentissement : Les fenêtres IE affichent "ne répond pas" et se

figent (10 mn d'attente pour les fermer après le clic) avec plantage du processus "

explorer.exe" en parralèlle, donc du bureau (disparition des icônes,de la barre des

tâches et plus de contrôle) et de toute fenêtre active. Le redémarrage du PC prend alors dans les 15 mn. Le crash semble lié à l'utilisation du client bittorrent, en tout cas, ce dernier le provoque à coup sûr.

 

J'ai également constaté que les infos de désinstallation des applications de la

liste "ajout/suppréssion" ont été mélangées. Si je demande de désinstaller NortonAV, il proposera de désinstaller Winamp. Winamp propose adaware,adaware propose spybot, etc...

Ceci est dû à l'execution d'un script :

 

Extrait du journal de NortonAV :

 

Catégorie: Alertes concernant les menaces

Date,Fonction,Nom de l'alerte,Mesures prises,Type d'élément,Cible,Action malveillante,Version de définition de virus,Version du produit,Nom d'utilisateur,Nom d'ordinateur,Détails.

 

31/05/2004 00:39:31,Blocage de script,Script suspect,Bloqué,Script,N/A,FileSystemObject :GetSpecialFolder,Inconnu,Inconnu,Oscar Nassier,HOMER,Source :MsiExec.exe.

 

31/05/2004 00:40:22,Blocage de script,Script suspect,Accès autorisé,Script,N/A,FileSystem Object : GetSpecialFolder,Inconnu,Inconnu,Oscar Nassier,HOMER,Source :MsiExec.exe

 

Les scans Norton, Panda, ADaware et Spybot ne trouvent rien alors je vous soumet ce rapport Hijackthis :

 

Logfile of HijackThis v1.97.7

Scan saved at 10:23:43, on 19/06/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\CPUCooL\CooLSrv.exe

C:\Program Files\Executive Software\DiskeeperServer\DKService.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\Fast.exe

C:\WINDOWS\System32\taskswitch.exe

C:\WINDOWS\System32\fast.exe

C:\Program Files\Ohé\OHE.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\BigFix\BigFix.exe

C:\Program Files\IDETOOL\IDETOOL.EXE

C:\Program Files\CPUCooL\CPUCooL.exe

C:\RefreshLock.exe

C:\Program Files\SpamPal\spampal.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Oscar Nassier\Bureau\Connexion bas-débit de

secours\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

"C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.club-internet.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O1 - Hosts: 213.228.0.42 home.free.fr

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll

O2 - BHO: (no name) - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - (no file)

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

O4 - HKLM\..\Run: [OHE] C:\Program Files\Ohé\OHE.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: CPUCooL.lnk = C:\Program Files\CPUCooL\CPUCooL.exe

O4 - Startup: Raccourci vers RefreshLock.exe.lnk = C:\RefreshLock.exe

O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - User Startup: CPUCooL.lnk = C:\Program Files\CPUCooL\CPUCooL.exe

O4 - User Startup: Raccourci vers RefreshLock.exe.lnk = C:\RefreshLock.exe

O4 - User Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe

O4 - Global Startup: BigFix.lnk = C:\Program Files\BigFix\BigFix.exe

O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &iSearch The Web - Supprimer cette entrée

O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program

files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\program

files\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8147.0471990741

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2041D42C-8BCE-4E7C-9DB5-820622FADA74}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CS1\Services\Tcpip\..\{2041D42C-8BCE-4E7C-9DB5-820622FADA74}: NameServer = 212.27.32.176,212.27.32.177

 

Merci de me dire si je peux faire quelque chose pour rétablir mon système sans tout reformater, mon graveur est tout naze, je perdrais trop d'infos... et mes disques sont pleins.

 

Oscar.

Lien vers le commentaire
Partager sur d’autres sites

Invité tesgaz

Salut oscarnassier,

 

et bienvenu sur zebulon,

 

alors, tu peux supprimer certaines entrées qui sont nefastes:

quand à l'étendue des dégats, c'est a voir apres le nettoyage :P

 

C:\WINDOWS\System32\Fast.exe

C:\WINDOWS\System32\taskswitch.exe

C:\WINDOWS\System32\fast.exe

C:\Program Files\Ohé\OHE.exe

 

C:\Program Files\BigFix\BigFix.exe

C:\Program Files\IDETOOL\IDETOOL.EXE

 

C:\RefreshLock.exe

O1 - Hosts: 213.228.0.42 home.free.fr

O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)

O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll

O2 - BHO: (no name) - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - (no file)

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

O4 - HKLM\..\Run: [OHE] C:\Program Files\Ohé\OHE.exe

O4 - Startup: CPUCooL.lnk = C:\Program Files\CPUCooL\CPUCooL.exe < pourquoi il y en a 2 ?

O4 - Startup: Raccourci vers RefreshLock.exe.lnk = C:\RefreshLock.exe

O4 - User Startup: CPUCooL.lnk = C:\Program Files\CPUCooL\CPUCooL.exe < pourquoi il y en a 2 ?

O4 - User Startup: Raccourci vers RefreshLock.exe.lnk = C:\RefreshLock.exe

O4 - Global Startup: BigFix.lnk = C:\Program Files\BigFix\BigFix.exe

O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &iSearch The Web - Supprimer cette entrée

O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program

files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://c:\program

files\google\GoogleToolbar2.dll/cmsimilar.html

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2041D42C-8BCE-4E7C-9DB5-820622FADA74}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CS1\Services\Tcpip\..\{2041D42C-8BCE-4E7C-9DB5-820622FADA74}: NameServer = 212.27.32.176,212.27.32.177

 

voila, tu fais un "fixchecked" et tu redémarres

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...