Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

browser hijacker indétéctable !!


Messages recommandés

Salut à tous,

 

J'ai récupéré un spyware sur un ordi qui tourne sous windows 2000 pro.

Les seuls sympomes sont changement de la page d'acceuil ( browser hijacker je crois que c le nom qu'on donne à ce type de spyware ? ) qui devient res://ggdfk.dll/index.html#37680 et ouverture de popup non bloqués par la barre google.

J'ai lancé spybot ( analyse, vaccination et protection résidente ), puis adaware sans résultats.

J'ai également passé un coup de hijackthis, nettoyé les clés se rapportant à cette fichue page d'acceuil, mais rien à faire elle reviennent à chaque redémarrage de IE.

Voilà mon log hijackthis, saiton jamais que vous trouviez qqch qui me soit passé sous le nez:

 

Logfile of HijackThis v1.97.7

Scan saved at 14:28:20, on 19/07/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\crypserv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\apirg32.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINNT\system32\mfcqc32.exe

C:\WINNT\system32\lezkhis.exe

C:\WINNT\system32\internat.exe

\Georgia-compta\C\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINNT\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrateur\Mes documents\Fréd\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ggdfk.dll/sp.html#37680

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ggdfk.dll/index.html#37680

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ggdfk.dll/index.html#37680

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ggdfk.dll/sp.html#37680

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ggdfk.dll/index.html#37680

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ggdfk.dll/sp.html#37680

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {56CC3A39-518D-B878-15E2-5F0CAD2770B4} - C:\WINNT\ntvk32.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [mfcqc32.exe] C:\WINNT\system32\mfcqc32.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\MediaDICO\MediaDICO.exe Lancement

O4 - HKCU\..\Run: [msnmsgr] "\\Georgia-compta\C\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - HKCU\..\Run: [spyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8171.2608333333

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9CDEF54-8A6D-4122-8F65-EC67BCC16F42}: NameServer = 193.252.19.3,193.252.19.4

 

Edit: les passages en gras ont été supprimés mais reviennent tjrs comme dit plus haut

Modifié par Rémi
Lien à poster
Partager sur d’autres sites

Salut,

 

il te reste à passer CWshredder, et fait une recherche sur le forum de about:blank, tu verras des solutions (pour CWS prend bien la dernière version).

Lien à poster
Partager sur d’autres sites

Merci Laubean, je vais essayer

 

Edit : Aucun résultats avec CWShredder, je vais rechercher sur le forum que tu m'a indiqué

 

Aurais-tu le lien stp ?

Modifié par laubean
Lien à poster
Partager sur d’autres sites

bonjour Remi,

 

ces programmes n'existent pas d'origine dans System32

C:\WINNT\system32\apirg32.exe

C:\WINNT\system32\mfcqc32.exe

C:\WINNT\system32\lezkhis.exe

 

il faut donc les désactiver du menu demarrage de msconfig, et ensuite supprimer les fichiers en mode sans echec

 

 

il faut faire de meme pour ceux la : supprimer les fichiers en mode sans echec

C:\WINNT\ggdfk.dll

C:\WINNT\ntvk32.dll

 

 

edit, j'oubliais que msconfig n'existe pas d'origine dans 2000, il faut que tu cherches les programmes dans ces clés de ta base de registre et que tu les supprimes

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\S-1223-etc\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\S-1234-etc\Software\Microsoft\Windows\CurrentVersion\RunOnce

Modifié par Freeware
Lien à poster
Partager sur d’autres sites

Bonsoir Rémi, bonsoir à tous,

 

Rémi, tu es là à la pointe des recherches ! Je veux dire que tu es en plein dans le domaine qui donne lieu aux création des nouveaux malwares et donc HijackThis se trouve un peu impuissant !

 

Le coup de "AppInit_DLLs" a maintenant été intégré à la dernière version d'HJT (la 1.98.0) mais il y a des utilitaires qui sont utilisés de manière "confidentielle", des outils utilisés par les équipes de recherche : en voici quelques uns -> http://gerard.melone.free.fr/IT/IT-HJT.html#HJT4 mais fais bien attention parce qu'ils sont en cours de développement !

Regarde notamment About:Buster, DLLfix et SpHjfix !

Bonne chance !

Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...