Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Voila mon rapport Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 00:57:47, on 11/09/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.forumactif.com/index.forum

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe

 

Voila, j'ai suprimé les deux fichiers que je vous est fait voir mais ils revienne à chaque redemarrage.

Posté(e)

C'est OK. As-tu toujours cette IP qui demande à sortir ? Pour mettre le fichier hosts en lecture seule tu vas dans C:\WINDOWS\SYSTEM32\DRIVERS\ETC , tu fais un clic droit sur le fichier hosts, tu choisis propriétés et tu coches lecture seule, appliquer.

Posté(e)

Salut psgactuality et megataupe

 

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Ton system n'est pas a jour commande gratuitement le CD XP SP2 chez MS:

 

le SP2 (si tu a une connexion 56Ko tu peux commander gratuitement le CD chez Microsoft)

- Pack SP2

 

Ensuite comme te le dis megataupe ton rapport HJT est propre.

 

Par contre, ce rootkit en quarantaine dans Norton supprime le. Ensuite si tu lis l'anglais vas ici WORM_TILEBOT.A et vérifies ta base de registre en remettant les bonnes valeurs des clés.

 

RootkitRevealer

Télécharge rootkitrevealer.zip -> http://www.sysinternals.com/files/rootkitrevealer.zip

 

Dézippe dans un dossier dédié sur ton bureau

Ouvre de dossier et double-clique sur rootkitrevealer.exe

Dans le menu, sélectionne 'Scan'

Quand le scan est terminé, sélectionne 'Save...' dans le menu File et sauvegarde le fichier log.

Copie le contenu de RootkitReveal.txt dans ton prochain post.

 

RegSearch

Télécharger http://www.bleepingcomputer.com/files/misc/RegSearch.zip

 

- dézipper dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle le nom du « oran.sys » Service dans la zone de recherche et clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

A+

NB: Il est trés important de faire les mises a jour windows car ce rootkit utilise des failles de XP pour se propager et désactive de nombreux paramettre de windows afin de rendre ton systeme encore plus perméable aux attaques et comme ton systeme a 5ans de retard de mises a jour tu été le candidat parfait a cette infection trés difficile a éradiquer !

Posté(e) (modifié)

Bonjour à tous, avant de commencer, merci pour votre aide, s'est super gentil, il devrait y avoir plus de gens comme vous...

Megataupe: J'ai fait se que tu ma dit, mais sa n'arrange rien la connection se pert à l'ouverture de cette page: http://img354.imageshack.us/img354/731/sanstitre1nn.jpg

 

Pour le clique droit sur le fichier HOST tu parle de celui que tu ma fait rajouté?

Merci

 

BipBip07: Alors je vais faire tout se que tu ma dit, mais s'est horrible les mises à jours que je n'est pas!

Mais sa concerne le problème du SP2, quand je veus l'installé, il me mette se message "la cléf du produit n'est peut être pas ou plus valide", esse parce que j'utilise la même cléfs que ma mère? (Windows Xp pro).

 

De plus si je ne peut pas prendre le sp2, puije alors téléchargé les autres mises à jours que celle la?

Car quand je fait une recherche de mise à jour sur WU il ne me propose que ce pack 2.

Merci pour ta reponse

 

 

Kévin

Modifié par psgactuality
Posté(e)

Bonjour psgactuality,

... Alors si vous avez un moyen de contourné cette cléfs ou autre sa serrais bien de m'en informé.

De plus si je ne peut pas prendre le sp2, puije alors téléchargé les autres mises à jours que celle la?

Car quand je fait une recherche de mise à jour sur WU il ne me propose que ce pack 2.

Merci pour ta reponse

Kévin

psgactuality, ta demande est absolument contraire à la charte du forum...
Posté(e) (modifié)

J'ai réctifié, désolé ipl pour ce dérangement... :P

 

Megataupe: Tu avais oublié de mentionné un autre dossier dans DRIVERS qui etait Drivers/etc/hosts.

Peut être n'esse pas sa, mais dans le dossier " Drivers" il n'y a pas de fichiers du nom de "hosts".

 

BiBip07: Le lien pour RegSearch ne fonctionne pas :P

 

Merci

Modifié par psgactuality
Posté(e)
J'ai réctifié, désolé ipl pour ce dérangement...  :P

 

Megataupe: Tu avais oublié de mentionné un autre dossier dans DRIVERS qui etait Drivers/etc/hosts.

Peut être n'esse pas sa, mais dans le dossier " Drivers" il n'y a pas de fichiers du nom de "hosts".

 

Merci

569679[/snapback]

 

Hum, le fichier hosts est bien dans le répertoire drivers puis, tu cliques sur le dossier etc pour trouver le fichier hosts.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...