Demande d'Analyse pour Hacktool.rootkit

[gcette]

Je vais tenter de faire disparaitre les lignes 016 et noFile...je vous reviens demain.

 

 

Merci de votre patience

[gcette]

RererereBonjour,

 

Bon, je crois que c'est bien....

 

Résultat:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:15:46, on 2005-09-18

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://*.radio-canada.ca

O15 - Trusted Zone: http://reservia.viarail.ca

O17 - HKLM\System\CS1\Services\Tcpip\..\{0BD6C72F-B627-4AD2-923A-ED08AAE791B8}: NameServer = 66.38.181.13 66.38.181.21

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

O23 - Service: SymProxySvc - Unknown owner - (no file)

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINNT\taskcntr.exe

 

Votre opinion s.v.p

 

Gros MERCI !

[gcette]

Merci à IPL_001, vous avez été d'une aide très précieuse.

 

Bon tennis IPL

 

Gcette

[BipBip07]

Bonjour,

Rebonsoir gcette, rebonsoir à tous,

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINNT\taskcntr.exe

Je suis gêné par ce service sur lequel je ne trouve pas d'information ; si tu ne le connais pas, nous allons le désactiver... ne te fais pas de souci : il serait facile de le remettre en fonction !

 

idem !

gcette as tu fixée ces lignes ?

 

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINNT\taskcntr.exe

O23 - Service: SymProxySvc - Unknown owner - (no file)

[gcette]

Bon matin,

 

Oui j'ai fais un fix sue ces lignes :

 

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINNT\taskcntr.exe

O23 - Service: SymProxySvc - Unknown owner - (no file)

 

Sauf, qu'ils demeurent toujours présentes...est-ce que taskcntr.exe est un service de Windows ?

 

A bientôt

 

Gcette

[megataupe]

Bonjour Gcette. Fais analyser ce taskcntr.exe ici :

 

http://virusscan.jotti.org/

 

et envoie le rapport

[gcette]

Bonjour Megataupe, IPL_001

 

Voici le réseultat du scan du fameux taskcntr.exe...j'attend avec impatience votre opinion....GROS MERCI.

 

Service load: 0% 100%

 

File: taskcntr.exe

Status: INFECTED/MALWARE

MD5 5e8a36e6db7f9099cc6192d7a2fdf51a

Packers detected: PE-CRYPT.ANTIDEB, UPX

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found Backdoor.SDBot.C56CD13C

ClamAV Found nothing

Dr.Web Found Win32.HLLW.MyBot

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Backdoor.Win32.SdBot.aad

NOD32 Found a variant of IRC/SdBot

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found nothing

[megataupe]

Bon, SDbot apparamment. Attend l'avis d'IPL mais, va d'abord vérifier dans les services si tu as ce taskcntr.exe actif

[gcette]

Salut,

 

Il est dans mes services...et je l'ai désactivé...il n'est plus dans les processus actifs. Sauf que, je me demande si je dois Supprimer ce fichier ou pas.

 

Nom affiché : TASKESV

Description: Task Enviroment Control Variable

[megataupe]

Bien, je te conseille de le renommer en TASKESV-old pour le neutraliser et si tout va bien, tu pourras le supprimer dans quelques jours. Pour terminer le nettoyage, je te conseille de faire un scan d'Ewido :

 

Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis

568922[/snapback]