Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojan RootKit.Agent.Q

mike80

Par mike80
dans Analyses et éradication malwares

 Partager

Messages recommandés

mike80 Member

mike80

Posté(e)
  • Auteur
Posté(e)

Voila c'est fait :

 

Logfile of HijackThis v1.99.1

Scan saved at 15:07:41, on 15/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyweb.utc.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Class - {907B55AA-EFD4-7FFC-2B65-F6817EFA2EE5} - C:\WINDOWS\system32\appei.dll

O2 - BHO: Class - {D1A35940-7FA5-46BB-81C4-D61A46262B92} - C:\WINDOWS\system32\javali32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\RunOnce: [apirc.exe] C:\WINDOWS\system32\apirc.exe

O4 - HKLM\..\RunOnce: [d3pc32.exe] C:\WINDOWS\system32\d3pc32.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winru.exe" /s (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab7\webserver\bin\win32\matlabserver.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Lien vers le commentaire
Partager sur d’autres sites
Pollux_63 Extrem Member

Pollux_63

Posté(e)
Posté(e)
Y a-t-il un soucis avec mon log  ?

572278[/snapback]

Effectivement. je suis entrain de chercher, je te tiens au courant.

Ne t'inquiète pas je t'abandonne pas :P

J'ai l'impression que chaque fois que tu reviens ya quelquechose de nouveau!?!

 

En attendant, stp installe un pare-feu, car je n'en vois pas:

ZA: http://www.zonelabs.com/store/content/cata...g=fr&lid=nav_za

paramétrage: http://speedweb1.free.fr/frames2.php?page=tuto1#firewall

Lien vers le commentaire
Partager sur d’autres sites
Pollux_63 Extrem Member

Pollux_63

Posté(e)
Posté(e)

re,

 

Après avoir installé Zone Alarm (ZA).(voir mon dernier post)

 

- télécharge CWShredder: http://cwshredder.net/bin/CWShredder.exe

 

- redémarre en mode sans échec

 

- Exécute CWShredder, fix

 

- fixes les lignes suivantes dans HJT (si elles existent):

 

O2 - BHO: Class - {907B55AA-EFD4-7FFC-2B65-F6817EFA2EE5} - C:\WINDOWS\system32\appei.dll

O2 - BHO: Class - {D1A35940-7FA5-46BB-81C4-D61A46262B92} - C:\WINDOWS\system32\javali32.dll

 

O4 - HKLM\..\RunOnce: [apirc.exe] C:\WINDOWS\system32\apirc.exe

O4 - HKLM\..\RunOnce: [d3pc32.exe] C:\WINDOWS\system32\d3pc32.exe

 

- Supprime ces fichiers si tu les trouves:

 

- C:\WINDOWS\system32\appei.dll <-- le fichier

- C:\WINDOWS\system32\javali32.dll <-- le fichier

- C:\WINDOWS\system32\apirc.exe <-- le fichier

- C:\WINDOWS\system32\d3pc32.exe <-- le fichier

 

- poste s'il te plait, un nouveau rapport HJT fait en mode sans échec

Lien vers le commentaire
Partager sur d’autres sites
mike80 Member

mike80

Posté(e)
  • Auteur
Posté(e)

Re salut, après avoir installer la version gratuite de Zonealarm ( ce qui fait que je n'ai pu faire que les configurations de base et non ttes celles indiquées sur le tutoriel ds le lien que tu m'as donné), voila ce que j'ai pu faire :

 

- J'ai pu fixer:

 

O4 - HKLM\..\RunOnce: [apirc.exe] C:\WINDOWS\system32\apirc.exe

 

- J'ai pu supprimer ces fichiers:

 

- C:\WINDOWS\system32\apirc.exe <-- le fichier

- C:\WINDOWS\system32\d3pc32.exe <-- le fichier

 

Et voici dc le nouveau log ( en mode ss echec) :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:36:39, on 15/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyweb.utc.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe

O4 - HKLM\..\Run: [addeu.exe] C:\WINDOWS\addeu.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab7\webserver\bin\win32\matlabserver.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lien vers le commentaire
Partager sur d’autres sites
Pollux_63 Extrem Member

Pollux_63

Posté(e)
Posté(e)

On va l'avoir!!!

 

Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec un nouveau rapport HJT

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...