[résolu] Log de HijackThis & abreula.dll (merci)

[Fuse]

MERCI MERCI MERCI !!!!!!!!!

 

 

Je commençais à désespérer (avec en plus un mode sans échec qui commençait à merder et se bloquer…) et j’ai réussi à comprendre comment utiliser la console de récupération comme on me l’avait conseillé (avec le cd de Windows). Après avoir viré (avec la fonction delete) tous les fichiers un par un par des lignes de commandes, j’ai fait un rebbot et j’ai utilisé HijackThis pour fixer les lignes dans la base de registre.

 

 

Tout est parti ……. OUF !

 

 

Merci encore beaucoup de tous vos encouragements et de votre aide. Impossible d'y arriver seul, surtout à mon niveau, vraiment bien bas.

 

 

 

Fuse, bien content d’être sorti d’affaire !

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:38:03, on 01/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE

C:\WINDOWS\StartupMonitor.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Olivier\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off

O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE

O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe

O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1092074866078

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...478/mcfscan.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

[ipl_001]

Rebonjour Fuse, rebonjour à tous,

 

Gloire à HFr, pow-wow et actarus78

pow-wow  Posté le 01-05-2005 à 14:09:16

Coriace le bougre.

 

On peut essayer de l'avoir avant qu'il ne soit lancé par Windows.

 

Pour ce faire, il faut passer par la console de récupération.

 

Instructions ICI ( http://www.informatruc.com/console.php )

 

Ensuite utiliser la commande del ou delete + le chemin du fichier pour le détruire.

 

---------------

 

actarus78  Posté le 01-05-2005 à 14:26:51

J'ai réussi à virer un fichier *.dll de ce genre en refusant, dans les propriétés du fichier, l'accès à l'utitisateur SYSTEM : aprés un reboot,j'ai pu l'effacer.

(source : http://forum.hardware.fr/hardwarefr/Window...et-210499-1.htm )

Qu'est-ce qui a été déterminant ? les instructions de pow-wow ou d'actarus78 ?

[Fuse]

Vraiment tout le monde en fait. La meilleure chose que je puisse faire pour répondre aux efforts de chacun pour essayer de m'aider en me proposant des conseils et des indications, c'est de les d'apprendre vite et bien pour les effectuer. J'ai vraiment appris bien des choses durant ces quelques heures de stress. merci encore. Par contre, un bon dimanche reposant sera le bienvenue ^^

[ipl_001]

Rebonjour Fuse,

 

Merci pour ta réponse !

 

Ton système a été infecté... je suppose que çà ne t'a pas amusé !

Si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système et il est important que tu l'améliores de manière à ce que çà n'arrive plus !

 

Protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases

( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage)

- pare-feu bien paramétré, gratuit

par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident)

- antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit

par exemple AVAST Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident)

- antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance)

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance)

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage)

- attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage).

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

 

(tous ces programmes parfaitement mis à jour avant chaque utilisation).

 

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html

Lutte AntiMalware -prévention

-1- Jeter Internet Explorer

-2- Mettre à jour le navigateur et le système

-3- Régler le système d'exploitation

-4- Remplacer Microsoft Java VM par Sun Java

-5- Régler Internet Explorer et Outlook

-6- Installer des utilitaires résidents

-7- IE-SPYAD

-8- Fichier Hosts

-9- Lancer des utilitaires non résidents

-10- Adopter une attitude prudente

-11- Tenir prêts, URLs et outils de réparation

-12- Liens

 

Nous faisons de gros efforts pour aider avec de plus en plus d'efficacité et nous voulons lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !

Avec un peu de prévention, il est possible d'être à l'abri des menaces !

S'il te plaît, fais passer le mot autour de toi !

S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !

Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier !

[ipl_001]

Rebonjour à tous,

 

Merci à tesgaz, Clafouti et à ceux que j'oublie pour leur participation à cette discussion !

Bien sûr merci à queruak, Stonangel et chercheur (les experts de la gymnastique HJT) !

 

Queruak, Stonangel, Chercheur,... nous devons rectifier nos procédures :

- Un delete au reboot est pratique (pour un utilisateur peu averti) mais pas suffisant !

 

- une suppression à partir de la console de récupération est à ajouter aux procédures pour les cas difficiles (de plus en plus fréquents)

 

J'ai personnellement appris beaucoup de choses dans cette discussion (possibilités droits d'accès, Knoppix, etc.) ! Merci à tous !

[Fuse]

Ton système a été infecté... je suppose que çà ne t'a pas amusé !

Si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système et il est important que tu l'améliores de manière à ce que çà n'arrive plus !

 

Tout a fait d'accord. Je ferais bien plus attention désormais.Je ne suis plus non plus sans armes pour essayer de me défendre.

 

 

Merci encore pour tout.

 

 

 

Fuse

[Invité tesgaz]

re à tous,

 

pas de quoi ipl_001,

 

la question que je me pose sur cette infection !

antivir a trouver le fichier mais n'a pas pu l'érradiqué

 

est-ce que le scan était en mode sans echec ?

 

pour la méthode, je pense qu'il faut absolument procéder uniquement en mode sans echec pour l'ensemble de la désinfection (mais ca, c'est pas nouveau, je l'ai toujours dis)

 

les nouveaux malwares utilisent les hook pour se glisser dans des processus légitimes ce qui n'arrange pas les choses

 

et l'utilisation de la console de récupération devient quasi obligatoire devant ce type d'infection

 

en effet, il y a du pain sur la planche, il faut absolument sortir un logiciel de prévention contre ce type d'attaque

[Fuse]

est-ce que le scan était en mode sans echec ?

 

Non, en mode nomal, je n'ai pas pensé à le faire en mode sans échec, Antivir Guard ne se chargeait pas de manière automatique ... peut-être une solution ...

[Invité tesgaz]

Antivir guard, c'est le scanner résidant en temps réel, il ne fonctionne qu'en mode normal

 

est-il bien paramétré ?

il se parametre de la même façon qu'antivir

http://speedweb1.free.fr/frames2.php?page=tuto5

 

dés l'instant ou tu as une alerte, et que l'antivirus ne peut l'érradiquer alors qu'il l'a trouvé, il faut de suite penser à faire une analyse en mode sans echec

[ipl_001]

Rebonsoir Fuse, tesgaz, rebonsoir à tous,

Antivir guard, c'est le scanner résidant en temps réel, il ne fonctionne qu'en mode normal

 

est-il bien paramétré ?

il se parametre de la même façon qu'antivir

http://speedweb1.free.fr/frames2.php?page=tuto5

 

dés l'instant ou tu as une alerte, et que l'antivirus ne peut l'érradiquer alors qu'il l'a trouvé, il faut de suite penser à faire une analyse en mode sans echec

495634[/snapback]

Il me faudra relire soigneusement la discussion (je le ferai demain) mais si je me souviens bien, la suppression en mode sans échec n'a pas abouti, le delete on reboot n'a pas abouti !

Je ne sais pas ce qu'il en aurait été pour antiVir !

 

les nouveaux malwares utilisent les hook pour se glisser dans des processus légitimes ce qui n'arrange pas les choses

Quand est-ce que çà se passe ? avant que les delete on reboot aient pu agir ? est-ce aussi possible en mode sans échec ?

Que donnerait un script de démarrage ? serait-il exécuté avant ce "hookage" (je pense que non) ?

 

et l'utilisation de la console de récupération devient quasi obligatoire devant ce type d'infection

 

en effet, il y a du pain sur la planche, il faut absolument sortir un logiciel de prévention contre ce type d'attaque

En tous cas, voila le programme à développer ! Mais hexanium aura-t-il la main assez tôt lors du démarrage de Windows ?