behave like :Win32 Backdoor

[flax_34]

Pour répondre à ta question :

 

Ou se trouve le fichier hosts

 

Dans

Windows 95/98/Me:

c:\windows\hosts

 

Dans

Windows NT/2000:

c:\winnt\system32\drivers\etc\hosts

 

Dans

Windows XP Home/XP Pro:

c:\windows\system32\drivers\etc\hosts

 

Si vous êtes sous Windows XP et que, éventuellement, vous sentez un ralentissement lors de la navigation sur le Web, vous devrez alors désactiver le service "Client DNS". Pour cela, allez dans le menu "Démarrer" et choisissez "Exécutez...". Là, tapez "services.msc" et cliquez sur OK. Recherchez le service "Client DNS", arrêtez-le puis désactivez-le (clic droit -> Propriétés).

 

Tu ouvres ce fichier hosts avec le bloc-notes puis, après avoir vérifier que tu n'as pas d'adresses suspectes après la ligne 127.0.0.1    localhost, tu colles les lignes suivantes en dessous de cette ligne 127.0.0.1    localhost

 

127.0.0.1 1spyware-removal.com

127.0.0.1 cybergations.com

127.0.0.1 jointventureforprofit.com/spy/

127.0.0.1 palsol.com

127.0.0.1 palsol.biz

127.0.0.1 palsol.net

127.0.0.1 spy-bot.com

127.0.0.1 spybot-scan.com

127.0.0.1 spybot-scanner.com

127.0.0.1 spybot-virus-scan.com

127.0.0.1 spybotsd.com

127.0.0.1 spyware1.com

127.0.0.1 spywarefinder.net

127.0.0.1 spywarekiller.us

127.0.0.1 spyware-virus-scan.com

127.0.0.1 spyware-virus-remover.com

127.0.0.1 trojan-virus-scan.com

 

Tu refermes le bloc-notes puis, tu fais un clic droit sur ce fichier hosts/propriétés/tu coches lecture seule/appliquer/ok.

 

Ensuite, repostes un log d'hijackthis pour vérification.

516708[/snapback]

En ouvrant le fichier Hosts avec le notePad il n'y a rien doi-je les mettre quand méme ??

[ipl_001]

Bonjour flax_34, bonjour à tous,

 

>En ouvrant le fichier Hosts avec le notePad il n'y a rien doi-je les mettre quand

>méme ??

Oui, y compris la ligne

127.0.0.1 localhost

en tête

 

As-tu cherché dans le bon répertoire ?

Ne pas confondre avec Hosts.sam ni avec LocalHosts !

[flax_34]

Bonjour flax_34, bonjour à tous,

 

>En ouvrant le fichier Hosts avec le notePad il n'y a rien doi-je les mettre quand

>méme ??

Oui, y compris la ligne

127.0.0.1    localhost

en tête

 

As-tu cherché dans le bon répertoire ?

Ne pas confondre avec Hosts.sam ni avec LocalHosts !

516801[/snapback]

Salut Non je ne confond pas avec Hosts.sam ni avec LocalHosts il n'y a rein d'inscrit dedans enfin mintenent si puisque jai rentré les ligne

 

127.0.0.1 localhost

127.0.0.1 1spyware-removal.com

127.0.0.1 cybergations.com

127.0.0.1 jointventureforprofit.com/spy/

127.0.0.1 palsol.com

127.0.0.1 palsol.biz

127.0.0.1 palsol.net

127.0.0.1 spy-bot.com

127.0.0.1 spybot-scan.com

127.0.0.1 spybot-scanner.com

127.0.0.1 spybot-virus-scan.com

127.0.0.1 spybotsd.com

127.0.0.1 spyware1.com

127.0.0.1 spywarefinder.net

127.0.0.1 spywarekiller.us

127.0.0.1 spyware-virus-scan.com

127.0.0.1 spyware-virus-remover.com

127.0.0.1 trojan-virus-scan.com

 

 

 

Et voici mon rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:40:20, on 13/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\LVComS.exe

C:\Program Files\Logitech\SetPoint\kem.exe

C:\Program Files\InterMute\SpySubtract\SpySub.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Flax34\Bureau\Protection\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [bDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: PPControl.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1117813357328

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED250A8-99C1-43A7-B490-50F3DFC07D00}: NameServer = 69.50.184.84 195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{B29C30AC-A0D6-456A-82A2-2BB855A7B11B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8A9381-8F4C-4EED-905A-D63C5858F7B5}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS2\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[ipl_001]

Bonsoir , bonsoir à tous,

 

Je fais remonter ce post suite aux derniers dénouements !

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED250A8-99C1-43A7-B490-50F3DFC07D00}: NameServer = 69.50.184.84 195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{B29C30AC-A0D6-456A-82A2-2BB855A7B11B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8A9381-8F4C-4EED-905A-D63C5858F7B5}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS2\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37

Comme http://forum.zebulon.fr/index.php?showtopi...=0entry517810

Comme http://forum.zebulon.fr/index.php?act=ST&f...=40#entry517818

 

Il y a du Trojan.Flush.B là-dedans !

[ipl_001]

Rebonsoir à tous,

 

La procédure de nettoyage des O17 est dans cette discussion -> http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry517872