[résolu]le cheval de troie swizzor.co qui revient

[Pollux_63]

Bonjour.

et j'entend bcp parler de Zone alarme commepar feu est ce que c'est mieux que kerio ? car j'ai l'impression que kerio ne fait rien.

c'est l'éternel question. Personellement j'ai eu les deux et je les aime bien tous les deux. Le tout est de bien les paramétrer, et à ce niveau il est vrai que ZA est plus facile à utiliser.

tu peux aller voir sur le site de tesgaz pour paramétrer ZA:

http://speedweb1.free.fr/frames2.php?page=tuto1#firewall

Même s'il s'agit de la version payante dans ce tuto tu peux t'en inspirer pour la version gratuite disponible ici: http://download.zonelabs.com/bin/free/fr/d.../znalmZAAV.html

[ipl_001]

Bonjour punkie93250, Pollux_63, bonjour à tous,

voici le rapport edwido par contre je suis etonné d'un spyware

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le:  20:39:39, 28/07/2005

+ Somme de contrôle: 7C7EE1EB

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\TypeLib\{71EFE583-62FE-4419-9918-CA3B683F7B36} -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\PI -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\Hotbar -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\HbTools\Hotbar\Install -> Spyware.HotBar : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7E66936C-FEA0-4984-AD26-7B6661AC5B2E} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A8A997F-BB9F-48F6-AA2B-2762D50F9289} -> Spyware.SmartShopper : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{946B3E9E-E21A-49C8-9F63-900533FAFE14} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E77EDA01-3C56-4A96-8D08-02B42891C169} -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports\ShopperReports -> Spyware.HotBar : Nettoyer et sauvegarder

HKU\S-1-5-21-3381133425-3734077261-1072905290-1005\Software\ShopperReports\ShopperReports\PostInstaller -> Spyware.HotBar : Nettoyer et sauvegarder

C:\Documents and Settings\babou\Mes documents\hitch\HijackThis\HijackThis\backups\backup-20050728-200313-638.dll -> Not-A-Virus.PornWare.PopCap.b : Nettoyer et sauvegarder

A ce sujet, il s'agit d'un fichier dans le répertoire backups, c'est à dire d'un élément stocké là pour une restauration éventuelle et donc, il n'est pas surprenant qu'il s'agisse d'un élément infectieux !

C:\RECYCLER\S-1-5-21-3381133425-3734077261-1072905290-500\Dc24.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-3381133425-3734077261-1072905290-500\Dc9.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

Les deux lignes qui précèdent correspondent à 2 fichiers dans la corbeille ! Si Ewido n'a pas supprimé, vider cette corbeille !

::Fin du rapport

c'est celui qu'il y a ds hijackthis !!! je ne vais pas sur des sites X car je sais que c'est la que lon chope le plus de merde . je tenvoie hijack

543033[/snapback]

Si je connais bien, Ewido a supprimé les fichiers en cause (version full en période d'essai de 14 jours) !

Il conviendrait de le vérifier par un deuxième scan !

[ipl_001]

Rebonjour punkie93250, rebonjour à tous,

...

 

Désinstalle un de tes deux antivirus selon ton choix mais paramètre le bien !

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

A l'occasion, tu peux enlever ces 2 lignes du rapport HijackThis !

C'est dire que je ne trouve rien d'infectieux en analysant ton rapport HijackThis ! nous devons nous y prendre autrement !...

[punkie93250]

j'ai suivi tes conseil g desinstaller AVG ainsi que antivir et reinstale comme il fallait

maintenant j'atten tes ordre lol

 

voici log HJT

 

Logfile of HijackThis v1.99.1

Scan saved at 18:41:40, on 29/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\UAService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Documents and Settings\babou\Mes documents\hitch\HijackThis\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe

[ipl_001]

Rebonsoir punkie93250, rebonsoir à tous,

 

Télécharge rootkitrevealer.zip -> http://www.sysinternals.com/files/rootkitrevealer.zip

 

Dézippe dans un dossier dédié sur ton bureau.

 

Ouvre le dossier et double-clique sur rootkitrevealer.exe.

 

Dans le menu, sélectionne 'Scan'

 

Quand le scan est terminé, sélectionne 'Save...' dans le menu File et sauvegarde le fichier log.

 

Copie le contenu de RootkitReveal.txt dans ton prochain post.

[punkie93250]

re bonsoir,

donc avnt de faire les manip je tiens a dire qu'il y a une evolution dans le swizzor maintenant je l'ai deux fois coup sur coup. donc pas top

je vais faire ce que ta dis

[punkie93250]

voici les resultats :

 

HKLM\SOTFWARE\Microsoft\Cryptography\RNG\Seed

29/07/05 : 80 Bytes : Data mismatch between Windows API and Raw hive data

 

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[1]

29/07/05 : 65 Bytes : Hidden from Windows API (mais je crois que ce sont les traces de swizzor.co qui est venu a 20h00)

 

 

C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[2]

29/07/05 : 65 Bytes : Visible in Windows API, but not in MFT or directory index (encore swizzor je pense)

 

 

dsl mais j'ai du recopier.

[ipl_001]

Rebonsoir punkie93250, rebonsoir à tous,

 

Dans ton message initial, tu parles de "swizzor.co" et des fichiers STAF.exe, STA9.exe et STA12.exe... nous allons nous aider de ces quelques informations et rechercher sur le disque et dans la base de registres !

 

Recherches disque :

Démarrer / Exécuter / tape cmd et clique sur OK

 

Copie les commandes qui suivent :

 

Dir /s /a C:\swizzor*.* >C:\punkie.txt

[Entrée]

 

puis

 

Dir /s /a C:\STA*.exe >>C:\punkie.txt & Start notepad C:\punkie.txt

[Entrée]

 

Ceci pourrait durer un certain temps car on recherche sur tout le disque...

 

Cette commande ouvre le bloc-notes avec le fichier C:\punkie.txt

 

Copie le contenu de C:\punkie.txt dans ton prochain post.

[ipl_001]

Re,

 

Nous allons rechercher ce fichier dans la base de registres grâce à Registry Search de mon ami Bobbi Flekman

-> http://www.bleepingcomputer.com/files/misc/regsearch.zip ) :

- télécharge  et dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle swizzor dans la première ligne de la zone de recherche

- copie colle STAF.exe dans la deuxième ligne de la zone de recherche

- copie colle STA9.exe dans la troisième ligne de la zone de recherche

- copie colle STA12.exe dans la quatrième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Merci Bobbi !

[punkie93250]

rebonsoir, en fait je pense que j'ai du mal m'exprimer

en fait a des heures fixe j'ai une alerte de antivir qui me dit que j'ai swizzor.co que cela vient de staF.exe etc en fait c'est un derivé de sta.exe et je fait delete sur l'antivirus et hope une autre alerte arrive tjs swizzor mais dans un autre dossier. je passe a chaque fois l'antivirus qui ne trouve rien et je recherche swizzor et sta.exe sur l'ordi mai il ne trouve rien,je passe ensuite cleaner et spybot ou celui que tu ma fai telecharger hier et il trouve rien. donc voila le probleme; j'arrive a supprimer swizzor mais il revient tjs a l'attaque donc je pense que soit ya un proramme sur mon ordinateur qui me ramene swizzor.co ou peut etre avec mes ports yaurai une porte derobée ?

ca me soule je pete un cable. en meme tps c pas tres facile de parler sur un post lol.