Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus

phill

Par phill
dans Software

 Partager

Messages recommandés

phill Junior Member

phill

Posté(e)
Posté(e)

Bonjour,

J'ai attrappé quelque chose qui ressemble à un virus :

- usurpation de la page d'accueil

- fichier infecté ole32ws.dll que Norton (MAJ de vendredi dernier !) détecte mais est incapable de supprimer

 

J'ai installé HijackThis et ai effectué un scan. Je poste ici le LOG comme proposé car même avec le tutorial, j'ai peur de faire des dégats !

 

Quelqu'un peut-il m'aider SVP ?

Phill

 

 

 

 

Logfile of HijackThis v1.98.2

Scan saved at 20:58:37, on 22/11/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Winamp\Winampa.exe

C:\WINDOWS\System32\npzdrzbfivefthd.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Netscape\Netscape\Netscp.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Wireless\Client Manager\CMAGS.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Philippe\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=533

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=533

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=533

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=533

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=533

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr"); (C:\Documents and Settings\Philippe\Application Data\Mozilla\Profiles\default\2p63j3nt.slt\prefs.js)

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\D4BPBE~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\npzdrzbfivefthd.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Wireless Client Manager.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

O20 - AppInit_DLLs: x78j1pi8m2kpk8.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Lien vers le commentaire
Partager sur d’autres sites

phill Junior Member

phill

Posté(e)
  • Auteur
Posté(e)
Bonsoir et bienvenue sur Zébulon,

 

Tu pourrais commencer par appliquer cette FAQ

 

A+

Coolman

424809[/snapback]

 

Merci

Je viens de faire l'évaluation

Puis-je supprimer aveuglément ce qui est répertorié comme Inconnu et méchant ?

Phill

 

PS : lors de l'évaluation, Norton m'a signalé un virus (Bloodhound ?) qu'il n'a pas pu réparer. Avez vous déjà eu ce pb ?

Lien vers le commentaire
Partager sur d’autres sites
Nicolas Coolman Mega Power Extrem Member

Nicolas Coolman

Posté(e)
Posté(e) (modifié)
Puis-je supprimer aveuglément ce qui est répertorié comme Inconnu et méchant ?
Si tu as un doute, poste les lignes "méchantes" pour un conseil.

 

PS : lors de l'évaluation, Norton m'a signalé un virus (Bloodhound ?) qu'il n'a pas pu réparer. Avez vous déjà eu ce pb ?
Pour éradiquer ce virus, tu peux t'inspirer de cet Article Zébulon. Modifié par coolman
Lien vers le commentaire
Partager sur d’autres sites
phill Junior Member

phill

Posté(e)
  • Auteur
Posté(e)
Merci

Je viens de faire l'évaluation

Puis-je supprimer aveuglément ce qui est répertorié comme Inconnu et méchant ?

Phill

 

PS : lors de l'évaluation, Norton m'a signalé un virus (Bloodhound ?) qu'il n'a pas pu réparer. Avez vous déjà eu ce pb ?

424813[/snapback]

 

 

J'ai oublié de préciser le lien de l'évaluation :

http://hijackthis.de/logfiles/66a1f26c58cc...133040dd9d.html

Je confirme car je viens de réessayer que l'évaluation et sa consultation me provoque une alerte virus Bloodhound.exploit.6 que Norton ne peut réparer

Lien vers le commentaire
Partager sur d’autres sites
phill Junior Member

phill

Posté(e)
  • Auteur
Posté(e)
Si tu as un doute, poste les lignes "méchantes" pour un conseil.

 

  Pour éradiquer ce virus, tu peux t'inspirer de cet Article Zébulon.

424815[/snapback]

 

 

Bonjour,

J'ai repris le pb aujourd'hui en demandant à HijackThis de réparer les lignes du log répertoriées en MECHANT ou potentiellement MECHANT.

4 lignes résistent à toute demande de réparation et réapparaissent quand j'effectue un nouveau scan. Ce sont les suivantes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=533

 

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~2.DLL

 

O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\npzdrzbfivefthd.exe

 

 

O20 - AppInit_DLLs: 83vnf8s5u41ldu.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

 

Quelqu'un a t'il une idée sur la raison pour laquelle HiJackThis ne semble pas pouvoir réparer ces 4lignes? (Sur la 4è ligne,la chaine de caractère après AppInt_DLLs change d'un scan à l'autre)

 

Pour être tout a fait honnête, il y a une ligne que je n'ai pas demandé de réparer bien que répértoriée comme MECHANT :

 

O4 - Global Startup: Wireless Client Manager.lnk = ?

 

car sur un autre ordinateur (relié en réseau via WIFI avec celui-ci), j'ai la même ligne sans avoir tous les pbs. J'ai eu peur, malgré le diagnostic, de faire des dégats sur ma liaison sans fil. Quelqu'un sait-il ce que représente exactement cette ligne ? Peut-elle être responsable de mes autres problèmes ? :P

 

Quelqu'un peut'il m'aider sur l'ensemble de ces problèmes ? Pour l'instant, le seul dysfonctionnement évident est l'usurpation de page de démarrage (club internet remplacé par http://t.swapx.cc/h.php?aid=533- qui n'est d'ailleurs pas le site répertorié dans Start Page) et je crois, un ralentissement de ma liaison Internet. Dois-je craindre autre chose ?

 

En vous remerciant d'avance

Phill

 

A tout hasard, je mets ici l'adresse de ma dernière évaluation du LOG complet

http://hijackthis.de/logfiles/b279ce810daa...daedd19558.html

Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Pour ta ligne 020 (AppInit_DLLs), tu devrais essayer la manip suivante :

 

Enfin, il existe des BHO utilisant un trojan vicieux Backdoor.Agent.ba pour se régénérer en cas de suppression des entrées dans la BdR. La procédure à suivre pour ce cas particulier caractérisée par la présence dans le registre d'une ou plusieurs entrées AppInit_DLLs :

 

Aller à la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Windows\AppInit_DLLs

La valeur semble vide mais il y a une valeur cachée qui signale à Windows de charger la dll malveillante chaque fois qu'une application est lancée.

Si tu supprimes la clé dans regedit, vu que le trojan est actif, il va la

rajouter immédiatement (Supprime AppInit_DLLs et actualise : la clé revient immédiatement)

 

Procédure d'éradication :

- Regedit et renommer le répertoire HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Windows en Windows2

- Supprimer la valeur AppInit_DLLs dans le panneau de droite.

- Renommer le répertoire Windows2 en Windows.

- Exécuter Ad-aware à jour pour supprimer le BHO et redémarrer.

-Vérifier que AppInit_DLLs est bien absent.

La dll dans le répertoire Windows\System32 a un nom aléatoire.

 

NB : AppInit_DLLs peut se trouver à d'autres endroits dans la base de registre, la procédure d'éradication est la même.

Le BHO est installé à l'aide du trojan Backdoor.Agent.ba, ajouté dans les DB des meilleurs AV depuis début juillet.

Lien vers le commentaire
Partager sur d’autres sites
phill Junior Member

phill

Posté(e)
  • Auteur
Posté(e) (modifié)
Pour ta ligne 020 (AppInit_DLLs), tu devrais essayer la manip suivante :

 

Enfin, il existe des BHO utilisant un trojan vicieux Backdoor.Agent.ba pour se régénérer en cas de suppression des entrées dans la BdR.  La procédure à suivre pour ce cas particulier caractérisée par la présence dans le registre d'une ou plusieurs entrées AppInit_DLLs :

 

Aller à la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Windows\AppInit_DLLs

La valeur semble vide mais il y a une valeur cachée qui signale à Windows de charger la dll malveillante chaque fois qu'une application est lancée.

Si tu supprimes la clé dans regedit, vu que le trojan est actif, il va la

rajouter immédiatement (Supprime AppInit_DLLs et actualise : la clé revient immédiatement)

 

Procédure d'éradication :

- Regedit et renommer le répertoire HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Windows en Windows2

- Supprimer la valeur AppInit_DLLs dans le panneau de droite.

- Renommer le répertoire Windows2 en Windows.

- Exécuter Ad-aware à jour pour supprimer le BHO et redémarrer.

-Vérifier que AppInit_DLLs est bien absent.

La dll dans le répertoire Windows\System32 a un nom aléatoire.

 

NB : AppInit_DLLs peut se trouver à d'autres endroits dans la base de registre, la procédure d'éradication est la même.

Le BHO est installé à l'aide du trojan Backdoor.Agent.ba, ajouté dans les DB des meilleurs AV depuis début juillet.

425250[/snapback]

 

Bonsoir Megataupe et merci pour ta réponse et ton aide

J'arrive au moment où je dois executer Ad-aware et je ne l'ai pas. Où puis-je le télécharger de façon sûre ?

Phill

PS : je travaille avec une version de Norton MAJ du 19/11/2004. Comment ai-je pu m'attraper ce truc ? Est-il dangereux ?

 

Bonsoir Megataupe et merci pour ta réponse et ton aide

J'arrive au moment où je dois executer Ad-aware et je ne l'ai pas. Où puis-je le télécharger de façon sûre ?

Phill

PS : je travaille avec une version de Norton MAJ du 19/11/2004. Comment ai-je pu m'attraper ce truc ? Est-il dangereux ?

425267[/snapback]

 

 

HELP

En fait IMPOSSIBLE de renommer Windows2 en Windows car le système recrée un Windows (que je mets en évidence en actualisant) qui contient le AppInit_DLLs douteux (et un(par défaut)) mais pas les 3 ou 4 autres fichiers. Je ne peux donc pas recréer le Windows original. Que faire ?

Phill

 

Pense à utiliser le bouton Editer, merci .--- Laubean

Modifié par Laubean
Lien vers le commentaire
Partager sur d’autres sites
phill Junior Member

phill

Posté(e)
  • Auteur
Posté(e)
Bonsoir Megataupe et merci pour ta réponse et ton aide

J'arrive au moment où je dois executer Ad-aware et je ne l'ai pas. Où puis-je le télécharger de façon sûre ?

Phill

PS : je travaille avec une version de Norton MAJ du 19/11/2004. Comment ai-je pu m'attraper ce truc ? Est-il dangereux ?

HELP

En fait IMPOSSIBLE de renommer Windows2 en Windows car le système recrée un Windows (que je mets en évidence en actualisant) qui contient le AppInit_DLLs douteux (et un(par défaut)) mais pas les 3 ou 4 autres fichiers. Je ne peux donc pas recréer le Windows original. Que faire ?

Phill

 

Pense à utiliser le bouton Editer, merci .--- Laubean

425267[/snapback]

 

Bonsoir

Je ne comprends pas e sens de ta remarque.

J'ai bien essayé de renommer avec le bouton Edition (ou le click droit) mais un windows (avec le fichier douteux) est recréé automatiquement quand je renomme windows en windows2 et donc je ne peux plus renommer windows2 (dont j'avais enlevé le fichier douteux) en windows !

Phill

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...