Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Hacktool.rookit, encore


 Share

Messages recommandés

Salut,

 

Je suis moi aussi infecte par le tres desagreable Hacktool.rookit (c'est comme ca que NAV l'appelle).

J'ai lu le post du forum, mais mon analyse Hijackthis ne correspond a aucune de celle donnees.

est-ce que quelqu'un pourrait me donner un coup de main, NAV etant totalement inefficace.

 

Voici mon analyse Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:26:02, on 25/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\pctspk.exe

C:\PROGRA~1\NORTON~2\navapw32.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

Si par ailleurs quelqu'un connait une methodologie d'analyse de ces log, je suis interesse par apprendre... parce que vu comme ca, c'est pas tres parlant !

 

Une derniere question : j'ai reinstalle mon systeme, mais Hacktool.Rootkit était déjà présent au démarrage : est-ce possible ou est-ce que je me suis plante dans le processus ?

 

Merci d'avance pour votre aide, les fenetres d'avertissement NAV commencent a me taper serieusement sur le systeme :P

 

Kdor

Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Bonjour, télécharge installe et mets à jour cet utilitaire:

 

Ewido

http://www.ewido.net/en/download/

 

A la fin de son analyse colle son rapport avec un nouveau rapport Hijackthis effectué en mode sans échec.

 

Pour l'analyse voir ici:

http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

Bonne lecture...

Modifié par Stonangel
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Stonangel,

 

Merci pour ta réponse. Comme indiqué sur le site (merci pour le lien), j'ai auparavant fait tourner Easycleanner, Ad-aware et Spybot... en revanche, il va me falloir un moment avant d'integrer toute l'info d'analyse... j'ai donc grandement besoin de ton coup de main !

 

J'ai téléchargé Ewido et voici le rapport qu'il me donne :

 

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 12:59:57, 26/06/2005

+ Somme de contrôle: 2B9E195B

 

+ Date des signatures: 26/06/2005

+ Version du moteur de recherche: v3.0

 

+ Temps: 11 min

+ Fichiers scannés: 40720

+ Vitesse: 57.72 Fichiers/Secondes

+ Fichers infectés: 9

+ Fichiers supprimés: 9

+ Fichiers mis en quarantaine: 9

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 0

 

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

 

+ Elements scannés:

C:\

 

+ Résultats du scan:

C:\Documents and Settings\Propriétaire\Cookies\proprié[email protected][2].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1626.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1643.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1685.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1727.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1761.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1763.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\msmsgs.exe -> TrojanDownloader.Zlob.G -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\service.exe -> Backdoor.RBot.Generic -> Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

J'ai aussi fait tourner Hijackthis en mode sans echec, et voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:15:37, on 26/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Clean\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

Fin du rapport

 

Merci pour ton aide,

 

Kdor

Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Bonjour, démarre en mode sans échec, assure toi d'avoir accès à tous les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes (gardes en une de chaque pour le démarrage):

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

 

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichier incriminé (s'ils existent encore):

 

xpjava.exe < utilise la fonction rechercher localisation probable System32

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Registre et Inutiles seulement. Ne pas toucher à la fonction doublon.

 

Redémarre et poste un nouveau rapport Hijackthis effectué en mode sans échec pour vérification.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Kdor, Stonangel, bonjour à tous,

 

+ Résultats du scan:

C:\Documents and Settings\Propriétaire\Cookies\proprié[email protected][2].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1626.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1643.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1685.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1727.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1761.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1763.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\msmsgs.exe -> TrojanDownloader.Zlob.G -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\service.exe -> Backdoor.RBot.Generic -> Nettoyer et sauvegarder

Un certain nombre d'éléments ont été enlevés de ton système !

Je te fais remarquer que dans la liste, il y a 1 cookie et 6 fichiers dans la corbeille c'est à dire qu'un nettoyage régulier de ton disque aurait évité ces 7 éléments !

2 autres fichiers ont été enlevés de ton système !

 

 

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

--- xpjava.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...