trojan renon.sys

Thanos · le 28 septembre 2005

reviens fraxa!!!

Qu'est ce qui a marché? la manip que méga t'as conseillé ou est ce regseeker qui t'en a

débarrassé?? Est tu sûr qu'il a disparu? Poste un log hijack s'il te plait que nous en

soyons sûr!

megataupe · le 28 septembre 2005

reviens fraxa!!!

Salut Charles . J'espère qu'elle n'est pas parti avec pertes et fraxa .

Il serait en effet intéressant de savoir si ce cafard ne se réactive pas même désinstallé dans les services. Une autre piste : afficher les périphériques cachés dans le gestionnaire de périphériques pour pister le trublion.

fraxa · le 28 septembre 2005

désolé mais j'étais parti mangé et pas de chance j'ai de nouveau un message d''alerte comme quoi je suis vérolé par le même trojan.

je refais un log hijack

a tout desuite.

fraxa · le 28 septembre 2005

le nouveau rapport

Logfile of HijackThis v1.99.1

Scan saved at 20:34:35, on 28/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [E-Color Registration] C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

megataupe · le 28 septembre 2005

Bon, notre service qu'adore Charles n'a pas redémarré, c'est déjà ça. Tu vas faire un scan avec Ewido pour voir s'il ne traîne plus de bestioles sur ce PC :

Télécharger la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

568922[/snapback]

Thanos · le 28 septembre 2005

Salut Charles . J'espère qu'elle n'est pas parti avec pertes et fraxa .

:-P

Dis moi fraxa , quelle manipulation as tu effectué pour effacer TASKESV ??

fraxa · le 28 septembre 2005

ewido à retrouvé pas mal de chose et a, à première vue, éliminé le trojan en question.

Voici le report d'ewido suivi du log hijack

ewido security suite - Rapport de scan

---------------------------------------------------------

+ Créé le: 21:11:40, 28/09/2005

+ Somme de contrôle: E5CDAB96

+ Résultats du scan:

HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder

HKU\S-1-5-21-484763869-1957994488-839522115-1004\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Erreur durant le nettoyage

C:\Documents and Settings\xav\Cookies\[email protected][2].txt -> Spyware.Cookie.Pointroll : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@estat[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\xav@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\xav\Cookies\[email protected][2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\xavier&valerie\Cookies\xavier&[email protected][1].txt -> Spyware.Cookie.Pointroll : Nettoyer et sauvegarder

C:\Documents and Settings\xavier&valerie\Cookies\xavier&[email protected][2].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\xavier&valerie\Cookies\xavier&valerie@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\xavier&valerie\Cookies\xavier&valerie@serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\xavier&valerie\Cookies\xavier&valerie@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\WINDOWS\system32\remon.sys -> Trojan.Rootkit.Agent.ab : Nettoyer et sauvegarder

::Fin du rapport

Logfile of HijackThis v1.99.1

Scan saved at 21:15:47, on 28/09/2005