Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

Etant verolé par worm_rbot (csrss.exe) et non nettoyable, j'ai effectué un rapport hijackthis selon la procédure.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 10:05:30, on 09/10/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 207.234.225.136 www.halifax-online.co.uk

O1 - Hosts: 207.234.225.136 ibank.barclays.co.uk

O1 - Hosts: 207.234.225.136 online.lloydstsb.co.uk

O1 - Hosts: 207.234.225.136 online-business.lloydstsb.co.uk

O1 - Hosts: 207.234.225.136 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 207.234.225.136 www.nwolb.com

O1 - Hosts: 207.234.225.136 banesnet.banesto.es

O1 - Hosts: 207.234.225.136 extranet.banesto.es

O1 - Hosts: 207.234.225.136 ebanking.bccbrescia.it

O1 - Hosts: 207.234.225.136 www.bankofscotlandhalifax-online.co.uk

O1 - Hosts: 207.234.225.136 www.rbsdigital.com

O1 - Hosts: 207.234.225.136 oi.cajamadrid.es

O1 - Hosts: 207.234.225.136 bancae.caixapenedes.com

O1 - Hosts: 207.234.225.136 banking.postbank.de

O1 - Hosts: 207.234.225.136 meine.deutsche-bank.de

O1 - Hosts: 207.234.225.136 myonlineaccounts2.abbeynational.co.uk

O1 - Hosts: 207.234.225.136 ibank.cahoot.com

O1 - Hosts: 207.234.225.136 webbank.openplan.co.uk

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"

O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Microfost Windows update] winabra.exe

O4 - HKLM\..\Run: [msmsngr] C:\WINNT\system32\msmsngr.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\system32\firewall.exe

O4 - HKLM\..\Run: [system service75] C:\WINNT\etb\pokapoka75.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Microfost Windows update] winabra.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{493DF5FD-8BC0-4949-972A-3C0B5B113DC5}: NameServer = 80.118.196.40 80.118.192.110

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CS1\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = resoserv.fr

O17 - HKLM\System\CS2\Services\Tcpip\..\{430FB4D7-4775-4B58-8534-FF42D5145DC0}: NameServer = 192.168.1.5,194.2.0.20

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)

 

Antivir me trouve agbot et fsecure (en ligne) me trouve worm_rbot qui est non nettoyable (csrss.exe) qui est en cours d'utilisation.

 

J'ai des reboot administratifs mais pas de virus blaster, iexplorer me fais des erreures . Merci de votre aide.

 

C'est un portable ibm thinkpad avec win2000 sp4.

Posté(e) (modifié)

Bonjour et bienvenu sur le forum sécurité zebuulon,

 

Ton PC est tres infecté, j analyse ton rapport, réponse dans un moment.

Modifié par Jack_Burton
Posté(e)
Bonjour et bienvenu sur le forum sécurité zebuulon,

 

Ton PC est tres infecté, j analyse ton rapport, réponse dans un moment, il faudra un peu patienter car je suis un peu débordé ce matin.

585742[/snapback]

 

 

merci à toi.

Posté(e) (modifié)

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche le service avec cette orthographe exacte:

-Service: Windows Time Sync (wservtime)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

 

O1 - Hosts: 207.234.225.136 www.halifax-online.co.uk

O1 - Hosts: 207.234.225.136 ibank.barclays.co.uk

O1 - Hosts: 207.234.225.136 online.lloydstsb.co.uk

O1 - Hosts: 207.234.225.136 online-business.lloydstsb.co.uk

O1 - Hosts: 207.234.225.136 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 207.234.225.136 www.nwolb.com

O1 - Hosts: 207.234.225.136 banesnet.banesto.es

O1 - Hosts: 207.234.225.136 extranet.banesto.es

O1 - Hosts: 207.234.225.136 ebanking.bccbrescia.it

O1 - Hosts: 207.234.225.136 www.bankofscotlandhalifax-online.co.uk

O1 - Hosts: 207.234.225.136 www.rbsdigital.com

O1 - Hosts: 207.234.225.136 oi.cajamadrid.es

O1 - Hosts: 207.234.225.136 bancae.caixapenedes.com

O1 - Hosts: 207.234.225.136 banking.postbank.de

O1 - Hosts: 207.234.225.136 meine.deutsche-bank.de

O1 - Hosts: 207.234.225.136 myonlineaccounts2.abbeynational.co.uk

O1 - Hosts: 207.234.225.136 ibank.cahoot.com

O1 - Hosts: 207.234.225.136 webbank.openplan.co.uk

 

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Microfost Windows update] winabra.exe

O4 - HKLM\..\Run: [msmsngr] C:\WINNT\system32\msmsngr.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\system32\firewall.exe

O4 - HKLM\..\Run: [system service75] C:\WINNT\etb\pokapoka75.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [Microfost Windows update] winabra.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

 

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)<--- cette ligne ne devrait plus apparaitre car on a stoppé le service lié.

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

-C:\WINNT\system32\lssas.exe

-C:\WINNT\system32\firewall.exe

-C:\WINNT\etb<--- supprime tout le dossier

-C:\WINNT\csrss.exe

 

7/ Nettoyage du ver dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

-[Configuration Loader] scvhost.exe<--- supprime si présent

-[Microfost Windows update] winabra.exe<--- supprime si présent

 

*HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

-[Configuration Loader] scvhost.exe<--- supprime si présent

-[Microfost Windows update] winabra.exe<--- supprime si présent

 

Ferme ensuite le registre.

 

7/ Concernant cette ligne O4 - HKCU\..\Run: [internat.exe] internat.exe. C est soit un fichier légitime (voir ici) qui se trouve dans C:\WINNT\system32 (j ai ce fichier :P) soit un virus. Je pense que c est le fichier légitime mais on ne sait jamais. Tu vas faire une recherche avec l explorateur windows de ce fichier pour voir a quel endroit il se trouve. S il n est pas dans C:\WINNT\system32 tu le supprimes. Sinon tu le laisses.

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Edit :

En voyant mon rapport, toutes les lignes O1 sont du spam non ?

Non, c est un détournement de ton fichier Hosts

 

2eme Edit : Ne supprime pas les lignes 017, j ai un doute. J ai besoin de renseignements de ta part !!! Tu as quel FAI? 9 Telecom?? As tu une solution Transpac de Fance Telecom?? Normalement c est pour les entreprises. Ton PC est intégré a un réseau d une entreprise??

Pourquoi toutes ces questions? Tout simplement que tu as une ligne qui amene au FAI 9 Telecom et les autres correspondent aux solutions Transpac de Fance Telecom avec un lien aux USA :P

Modifié par Jack_Burton
Posté(e)

Je tiens dans un premier temps à te remercier de ton aide puis juste une question , le fichier csrss.exe est innexistant dans C:\WINNT\ mais il est dans C:\WINNT\system32 .

Je laisse ou je delete ? merci.

Posté(e)

2eme Edit : Ne supprime pas les lignes 017, j ai un doute. J ai besoin de renseignements de ta part !!! Tu as quel FAI? 9 Telecom?? As tu une solution Transpac de Fance Telecom?? Normalement c est pour les entreprises. Ton PC est intégré a un réseau d une entreprise??

Pourquoi toutes ces questions? Tout simplement que tu as une ligne qui amene au FAI 9 Telecom et les autres correspondent aux solutions Transpac de Fance Telecom avec un lien aux USA :P

585753[/snapback]

 

 

Je n'ai pas supprimé les q17 car je passe par un client vpn cisco pour me connecté aux serveurs de ma boite ( messagerie par ex ) et ce par ma ligne adsl perso :P . Sinon j'ai un autre internat.exe dans c:\winnt\system32\dllcache , je vire ? merci.

Posté(e) (modifié)

Je pense que JacK est occupé, tu ne touches pas à ce fichier csrss.exe qui est légitime.

Modifié par megataupe
Posté(e)
Je tiens dans un premier temps à te remercier de ton aide puis juste une question , le fichier csrss.exe est innexistant dans C:\WINNT\ mais il est dans C:\WINNT\system32 .

Je laisse ou je delete ? merci.

585771[/snapback]

Non surtout pas celui ci c est le fichier légitime, moi je voulais te faire supprimer le vers correspondant a ce service nocif

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...