Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Help backdoor

sigale

Par sigale
dans Software

 Partager

Messages recommandés

sigale Member

sigale

Posté(e)
Posté(e)

Panda m'averti régulièrement qu'un virus est détecté (agent E) mais ne parvient pas à le désinfecter car il est en cours ou protégé en écriture. J'ai essayé de désactiver la restauration comme indiqué sur leur site sans succès.

Impossible de fixer ma page de démarrage IE sur free comme habituellement (about back)

 

:P CWShredder v1.59.1 scan only report

Please understand that a CWShredder 'Scan only' report

might not be sufficient to troubleshoot an infected system.

You can use HijackThis for that:

http://www.merijn.org/files/hijackthis.zip

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

 

Windows XP (5.01.2600 SP1)

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\System32

AppData folder: C:\Documents and Settings\s\Application Data

Username: s

 

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Infected Registry value:

HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Infected Registry value:

HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

Infected data: file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (790 bytes, A)

Shell Registry value: HKLM\..\WinLogon [shell] Explorer.exe

UserInit Registry value: HKLM\..\WinLogon [userInit] C:\WINDOWS\system32\userinit.exe,

Found Win.ini file: C:\WINDOWS\win.ini (615 bytes, A)

Found System.ini file: C:\WINDOWS\system.ini (277 bytes, -)

 

- END OF REPORT -

Lien vers le commentaire
Partager sur d’autres sites

Desmo_46 Extrem Member

Desmo_46

Posté(e)
Posté(e)

Salut,

 

en effet, effectue des scan avec :

spybot

http://www.safer-networking.org/index.php?page=spybotsd

Ad-Aware

http://telecharger.01net.com/windows/Inter...ches/11643.html

CWShredder

http://209.133.47.200/~merijn/files/CWShredder.exe

 

puis tu peux aller ici pour l'antivirus : http://www.pandasoftware.com/activescan/

 

Ensuite, tu pourras t'attaquer à ce qui m'a le plus "choqué" : sp.html. Il s'agit d'un spyware hyper puissant qui ne peut se supprimer que manuellement. Tu trouveras des infos ici : http://forum.zebulon.fr/index.php?showtopi...=0entry358116

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut,

 

demarres en mode sans echec, supprimes tes fichiers temporaires

 

ensuite, va sur ton fichier hosts, supprimes toutes les ligne sauf la 1er

127.0.0.1 localhost

 

redemarres, installes spybot, mets le fichier hosts à jour avec

 

passes un coup de hijackthis, et donnes le log pour voir s'il reste des trucs pas clair

Lien vers le commentaire
Partager sur d’autres sites
sigale Member

sigale

Posté(e)
  • Auteur
Posté(e)

Voici Hijack this après :

 

Logfile of HijackThis v1.91.2

Scan saved at 13:56:01, on 03/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.free.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://home.free.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - i:\program files\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [APVXDWIN] "M:\Applications\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [skwatAutoconnect] D:\Program Files\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Recherche (HKLM)

O10 - Unknown file in Winsock LSP: M:\Applications\Titanium antivirus\pavlsp.dll

O10 - Unknown file in Winsock LSP: M:\Applications\Titanium antivirus\pavlsp.dll

O10 - Unknown file in Winsock LSP: M:\Applications\Titanium antivirus\pavlsp.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8119.4103356482

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.photoweb.fr/order/XUpload.ocx

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

Et je n'ai apparemment plus de problème après manip !

Mille merci

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour sigale, Desmo_46, tesgaz, bonjour à tous,

 

Je te souhaite la bienvenue sur Zebulon ! :P

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=file://C:\DOCUME~1\s\LOCALS~1\Temp\sp.html

Tout va bien pour tes recherches avec çà ? tu peux lire que ces lignes pointent sur un fichier du dossier Temp... que tu viens de vider !
Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

salut,

 

n'oublies pas de supprimer ceux la aussi :

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

4 - HKLM\..\Run: [APVXDWIN] "M:\Applications\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...