Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

salut megataupe :P Paysan Barbare,xibaarinfo

AH ben Maxthon, le trop bien NALC (Navigateur...) ben il me les ouvre même pas tes popup; qu'estce que c'est bien Maxthon, essayez le... lol

:P Firefox non plus ne m'ouvre pas ces pages,rien ne s'affiche(merci Noscript!,Adblock...) Suis le lien du

sieur Mégataupe qui se triture les méninges pour nous! Une fois bien sécurisé ,Firefox est un coffre fort!

 

EDITQc001 m'a contacté aujourd'hui pour me faire part de ceci: certaines personnes se plaignent de popups, sans aucun signe apparent dans HijackThis.Il se peut que ton pc soit infecté par "Apropos Rootkit".

Aussi , pour en être sûr,Je voudrais stp que tu regardes quelque chose Dans Ajout/suppression de Programme:

Y a t'il un programme qui se nomme :ContextPlus.Si c'est le cas désinstalle le!

Par ailleurs pour complêter ca, télécharge "RegSearch.exe" (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle adchannel dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Voilà fais ca , ca confirmera ou pas l'infection!

@+tard :-P

Modifié par charles ingals

Posté(e)

salut megataupe :P Paysan Barbare,xibaarinfo

 

:P Firefox non plus ne m'ouvre pas ces pages,rien ne s'affiche(merci Noscript!,Adblock...) Suis le lien du

sieur Mégataupe qui se triture les méninges pour nous! Une fois bien sécurisé ,Firefox est un coffre fort!

 

EDITQc001 m'a contacté aujourd'hui pour me faire part de ceci: certaines personnes se plaignent de popups, sans aucun signe apparent dans HijackThis.Il se peut que ton pc soit infecté par "Apropos Rootkit".

Aussi , pour en être sûr,Je voudrais stp que tu regardes quelque chose Dans Ajout/suppression de Programme:

Y a t'il un programme qui se nomme :ContextPlus.Si c'est le cas désinstalle le!

Par ailleurs pour complêter ca, télécharge "RegSearch.exe" (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle adchannel dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Voilà fais ca , ca confirmera ou pas l'infection!

@+tard :-P

 

Salut charles ingals,megataupe et Paysan Barbare,

La configuration de Firefox me parait treslong a faire. J'essaierai de le faire ce Week end.

Sinon j'ai verifie sur Ajout/Suppression de programmes je n'ai pas trouve le programme ContextPlus.

J'ai telecharge RegSearch.exe mais lorsque j'execute au bout d'un moment j'ai l'erreur suivante : failed to get data for "StatusDialogTitle".... la poisse continue :-(

J'ai effectue la meme recherche sur adchannel avec regedit mais rien.

Posté(e)

salut xibaarinfo

 

J'ai oublié un truc tres important!!Il faut faire la recherche avec RegSearch en mode sans échec impérativement!! Les clés en question ne sont pas visibles en mode normal

 

Voilà , j'attends ton rapport :P

Posté(e)

salut xibaarinfo

 

J'ai oublié un truc tres important!!Il faut faire la recherche avec RegSearch en mode sans échec impérativement!! Les clés en question ne sont pas visibles en mode normal

 

Voilà , j'attends ton rapport :P

 

 

Bonjour charles ingals

 

Comme tu me l'as conseille, j'ai relance regsearch en mode sans echec,

mais j 'ai toujours la meme erreur, j'ai utiliser regedit pour la recherche

et exporter les entrees ci dessous.

Je vais essayer de telecharger d'autres versions de Regsearch pour voir si ca marche

@+

 

 

 

========================================================

3 ieme resultats

========================================================

 

[HKEY_CURRENT_USER\Software\C0XSsAG2gls5\Cookies\Data\net\contextplus\adchannel.contextplus.net/services]

"freq_caps4"="MSCF;freq_caps4;AAAAAAAAAAAAAAAAKHhZQwkAAADfHAAAAQAAAAAAAACkHgAAAAAAAAEAAABxF1lDth4AAAAAAAABAAAA1xZZQ/UeAAAAAAAAAQAAAHIyWUP8HgAAAAAAAAIAAAAMMllDKHhZQwgfAAAAAAAAAQAAAC4yWUMNHwAAAAAAAAEAAABPMllDZR8AAAAAAAABAAAAJjJZQ3YfAAAAAAAAAQAAAGMyWUO5lgqo||||;4259677184;30476996;adchannel.contextplus.net;/services;0;{NULL};"

 

 

========================================================

2 ieme resultats

========================================================

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5]

@="R:.UsrBCCBCCDCU8haxRjSBCCBREClXcSdlhC3934t\\IHCs2x6t23Cq2x53q uD393"

"Device"="\\\\.\\FxSLiCUD"

"DriverPath"="C:\\WINDOWS\\system32\\drivers\\briusblf.sys"

"DriverName"="ConFdc"

"HideUninstallerName"="C:\\Program Files\\Micction\\bitmsevt.exe"

"HDll"="C:\\WINDOWS\\system32\\terregmv.dll"

"ServerAddress"="adchannel.contextplus.net"

"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"

"PartnerId"="CP.LAV"

"InstallationId"="{X92eaf31-c556-4716-4f77-64c9ad5a325d}"

"PageFiltering"=dword:00000001

"Version"="2.0.106"

"LastAURestoreMsgTS"="2005:10:22-09:59:06:528"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5\AU2]

"AP"="/DVNM=\"\\\\.\\FxSLiCUD\" /INSC=\"AU\""

"SU"="http://au.contextplus.net/services/AUServer"

"NPT"="2005:10:22-13:45:50:680"

@="2005:10:22-07:45:50:680"

"TO"=dword:01499700

"LastCLRestoreMsgTS"="2005:10:22-10:14:39:050"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5\AU2\RGR]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5\AU2\RGR\Messages]

"{09D4DB79-58AD-413C-A20F-8A798F7CD05E}"=hex:43,50,2e,63,72,00,43,50,00,32,30,\

30,35,3a,31,30,3a,32,32,2d,30,37,3a,34,36,3a,34,32,3a,39,37,35,00,00

"{77981A35-BF0E-49CF-B620-E8F1FBFC80C0}"=hex:43,50,2e,63,72,00,41,55,00,32,30,\

30,35,3a,31,30,3a,32,32,2d,30,39,3a,35,39,3a,30,36,3a,35,35,38,00,00

"{581CBD2D-E89C-43F0-B155-0FFE16E9BA04}"=hex:43,50,2e,63,72,00,43,50,00,32,30,\

30,35,3a,31,30,3a,32,32,2d,31,30,3a,31,34,3a,33,39,3a,30,35,30,00,00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5\AU2\RGR\Properties]

"CP.cv"=hex:43,50,2e,63,76,00,32,2e,30,2e,31,30,36,00,31,36,30,31,3a,30,31,3a,\

30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

"CP.id"=hex:43,50,2e,69,64,00,7b,58,39,32,65,61,66,33,31,2d,63,35,35,36,2d,34,\

37,31,36,2d,34,66,37,37,2d,36,34,63,39,61,64,35,61,33,32,35,64,7d,00,31,36,\

30,31,3a,30,31,3a,30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

"CP.pc"=hex:43,50,2e,70,63,00,43,50,2e,4c,41,56,00,31,36,30,31,3a,30,31,3a,30,\

31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

"CP.st"=hex:43,50,2e,73,74,00,41,00,31,36,30,31,3a,30,31,3a,30,31,2d,30,30,3a,\

30,30,3a,30,30,3a,30,30,30,00,00

"CP.is"=hex:43,50,2e,69,73,00,4c,52,00,31,36,30,31,3a,30,31,3a,30,31,2d,30,30,\

3a,30,30,3a,30,30,3a,30,30,30,00,00

"CP.it"=hex:43,50,2e,69,74,00,32,30,30,35,31,30,31,39,32,31,33,38,32,30,00,31,\

36,30,31,3a,30,31,3a,30,31,2d,30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

"CP.os"=hex:43,50,2e,6f,73,00,5b,32,5d,20,35,2e,31,2e,32,36,30,30,20,22,53,65,\

72,76,69,63,65,20,50,61,63,6b,20,32,22,00,31,36,30,31,3a,30,31,3a,30,31,2d,\

30,30,3a,30,30,3a,30,30,3a,30,30,30,00,00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\C0XSsAG2gls5\AU2\TDH]

"Tsk_{2A93D5C1-1790-4250-913F-AAC4872DA67D}"=hex:50,69,6e,67,53,65,72,76,65,72,\

54,61,73,6b,00,7b,32,41,39,33,44,35,43,31,2d,31,37,39,30,2d,34,32,35,30,2d,\

39,31,33,46,2d,41,41,43,34,38,37,32,44,41,36,37,44,7d,00,31,00,3c,72,71,3e,\

0a,09,3c,70,72,20,6e,6d,3d,22,43,50,2e,63,76,22,3e,32,2e,30,2e,31,30,36,3c,\

2f,70,72,3e,0a,09,3c,70,72,20,6e,6d,3d,22,43,50,2e,69,64,22,3e,7b,58,39,32,\

65,61,66,33,31,2d,63,35,35,36,2d,34,37,31,36,2d,34,66,37,37,2d,36,34,63,39,\

61,64,35,61,33,32,35,64,7d,3c,2f,70,72,3e,0a,09,3c,70,72,20,6e,6d,3d,22,43,\

50,2e,70,63,22,3e,43,50,2e,4c,41,56,3c,2f,70,72,3e,0a,09,3c,70,72,20,6e,6d,\

3d,22,43,50,2e,73,74,22,3e,41,3c,2f,70,72,3e,0a,09,3c,70,72,20,6e,6d,3d,22,\

43,50,2e,69,73,22,3e,4c,52,3c,2f,70,72,3e,0a,09,3c,70,72,20,6e,6d,3d,22,43,\

50,2e,69,74,22,3e,32,30,30,35,31,30,31,39,32,31,33,38,32,30,3c,2f,70,72,3e,\

0a,09,3c,70,72,20,6e,6d,3d,22,43,50,2e,6f,73,22,3e,5b,32,5d,20,35,2e,31,2e,\

32,36,30,30,20,26,71,75,6f,74,3b,53,65,72,76,69,63,65,20,50,61,63,6b,20,32,\

26,71,75,6f,74,3b,3c,2f,70,72,3e,0a,09,3c,6d,73,20,6e,6d,3d,22,43,50,2e,63,\

72,22,20,74,6d,3d,22,32,30,30,35,31,30,32,31,32,32,35,31,33,33,22,3e,43,50,\

3c,2f,6d,73,3e,0a,09,3c,6d,73,20,6e,6d,3d,22,43,50,2e,63,72,22,20,74,6d,3d,\

22,32,30,30,35,31,30,32,31,32,33,33,30,31,34,22,3e,41,55,3c,2f,6d,73,3e,0a,\

09,3c,6d,73,20,6e,6d,3d,22,43,50,2e,77,72,74,22,20,74,6d,3d,22,32,30,30,35,\

31,30,32,32,30,37,34,35,35,30,22,3e,32,2c,31,3c,2f,6d,73,3e,0a,3c,2f,72,71,\

3e,00,20,00,00

"TsExOr"="{2A93D5C1-1790-4250-913F-AAC4872DA67D};"

 

========================================================

3 ieme resultats

========================================================

 

[HKEY_USERS\S-1-5-21-1636255584-3359057353-1153918831-1005\Software\C0XSsAG2gls5\Cookies\Data\net\contextplus\adchannel.contextplus.net/services]

"freq_caps4"="MSCF;freq_caps4;AAAAAAAAAAAAAAAAKHhZQwkAAADfHAAAAQAAAAAAAACkHgAAAAAAAAEAAABxF1lDth4AAAAAAAABAAAA1xZZQ/UeAAAAAAAAAQAAAHIyWUP8HgAAAAAAAAIAAAAMMllDKHhZQwgfAAAAAAAAAQAAAC4yWUMNHwAAAAAAAAEAAABPMllDZR8AAAAAAAABAAAAJjJZQ3YfAAAAAAAAAQAAAGMyWUO5lgqo||||;4259677184;30476996;adchannel.contextplus.net;/services;0;{NULL};"

 

 

Posté(e) (modifié)

Bonjour xibaarinfo, bonjour Charles,

 

L'erreur de RegSearch était inattendue, mais ta recherche avec regedit en Sans Échec vient de confirmer l'infection :P

 

Charles pourra te prescrire un tool bien spécifique, qui devrait t'éradiquer cette bestiole hyper cachée :P

 

Bonne chance !

Modifié par Qc001
Posté(e)

Salut,

 

en attendant

tu peux déja faire une recherche sur le systeme pour supprimer ces fichiers :

 

C:\WINDOWS\system32\terregmv.dll

C:\Program Files\Micction\bitmsevt.exe

C:\WINDOWS\system32\drivers\briusblf.sys

Posté(e) (modifié)

salut tesgaz,Qc001,xibaarinfo

 

Le rapport que tu nous a posté suffit pour déceler l'infection!

 

Télécharge AproposFix:

http://swandog46.geekstogo.com/aproposfix.exe

 

Enregistre le sur bureau mais ne le lance pas.

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Double clique sur "aproposfix"

et dézippe le sur le bureau.Ouvre le dossier "aproposfix" et lance "RunThis.bat".Suis les instructions.

Lorsque c'est fini,redémarre le PC en mode normal,et poste un nouveau log hijackthis ainsi que le l'intégralité du fichier "log.txt" présent dans le dossier aproposfix.

Merci à Qc001 :P

Modifié par charles ingals
Posté(e)

salut tesgaz,Qc001,xibaarinfo

 

Le rapport que tu nous a posté suffit pour déceler l'infection!

 

Télécharge AproposFix:

http://swandog46.geekstogo.com/aproposfix.exe

 

Enregistre le sur bureau mais ne le lance pas.

 

Merci à Qc001 :P

 

Salut tout le monde,

Voici le rapport aproposfix

Log of AproposFix v1

 

 

 

Registry entries found:

 

[HKEY_LOCAL_MACHINE\Software\C0XSsAG2gls5]

@="R:.UsrBCCBCCDCU8haxRjSBCCBREClXcSdlhC3934t\\IHCs2x6t23Cq2x53q uD393"

"Device"="\\\\.\\FxSLiCUD"

"DriverPath"="C:\\WINDOWS\\system32\\drivers\\briusblf.sys"

"DriverName"="ConFdc"

"HideUninstallerName"="C:\\Program Files\\Micction\\bitmsevt.exe"

"HDll"="C:\\WINDOWS\\system32\\terregmv.dll"

"ServerAddress"="adchannel.contextplus.net"

"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"

"PartnerId"="CP.LAV"

"InstallationId"="{X92eaf31-c556-4716-4f77-64c9ad5a325d}"

"PageFiltering"=dword:00000001

"Version"="2.0.106"

"LastAURestoreMsgTS"="2005:10:22-09:59:06:528"

 

[HKEY_LOCAL_MACHINE\Software\C0XSsAG2gls5\AU2]

 

************

 

Removing hidden service:

Service ConFdc removed.

 

Removing hidden folder:

No folder found!

 

Deleting files:

 

Deletion of file C:\WINDOWS\system32\drivers\briusblf.sys succeeded!

Deletion of file C:\WINDOWS\system32\terregmv.dll succeeded!

 

Backing up files:

Done!

 

Removing registry entries:

 

REGEDIT4

 

[-HKEY_CURRENT_USER\Software\C0XSsAG2gls5]

[-HKEY_LOCAL_MACHINE\Software\C0XSsAG2gls5]

 

Done!

 

Finished!

 

 

et celui de HijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 12:49:29, on 29/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ezSP_Px.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Sony\HotKey Utility\HKserv.exe

C:\Program Files\sony\vaio power management\SPMgr.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program Files\Sony\HotKey Utility\HKWnd.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\palmOne\Hotsync.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe

O4 - HKLM\..\Run: [sonyPowerCfg] C:\Program Files\sony\vaio power management\SPMgr.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Program Files\Altova\XMLSpy2005\spy.htm

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MySql - Unknown owner - D:/YAYA/SLA-CD/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: OracleOraHome81Agent - Oracle Corporation - D:\oracle\ora81\bin\dbsnmp.exe

O23 - Service: OracleOraHome81ClientCache - Unknown owner - D:\oracle\ora81\BIN\ONRSD.EXE

O23 - Service: OracleOraHome81CMAdmin - Unknown owner - D:\oracle\ora81\BIN\CMADMIN.EXE

O23 - Service: OracleOraHome81CMan - Unknown owner - D:\oracle\ora81\BIN\CMGW.EXE

O23 - Service: OracleOraHome81DataGatherer - Oracle Corporation - D:\oracle\ora81\bin\vppdc.exe

O23 - Service: OracleOraHome81PagingServer - Unknown owner - D:\oracle\ora81/bin/pagntsrv.exe

O23 - Service: OracleOraHome81TNSListener - Unknown owner - D:\oracle\ora81\BIN\TNSLSNR.exe

O23 - Service: OracleServiceOPFP - Oracle Corporation - d:\oracle\ora81\bin\ORACLE.EXE

O23 - Service: OracleServiceSLADB - Oracle Corporation - d:\oracle\ora81\bin\ORACLE.EXE

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - D:\Javatools\server\Tomcat 5.5.9\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Malheureusement j'ai toujours ces p... de popups

Posté(e)

Bonjour xibaarinfo, bonjour à tous ;

 

L'outil de Swandog a fait le travail pour ce rootkit, d'après ton rapport. Excellent !

 

Maintenant, comme tu as toujours des popups, ils sont probablement liés à une infection parallèle. Charles pourra investiguer d'avantage :P

 

Petite note au sujet de RegSearch : j'ai contacté Bobbi_Fleckman, et il me dit que cette erreur ne provient pas directement de son tool ; il a pris le temps d'éplucher le code de A à Z ce matin, et n'a rien trouvé qui puisse générer cette erreur. Il est très consciencieux et généreux ce Bobbi (Merci !!). L'erreur provient d'un autre module, probablement, mais peu importe..

 

Courage !

Posté(e) (modifié)

salut xibaarinfo,Qc001

 

Concernant l'erreur de Regsearch, c'est vrai que ca la première fois qu'il pose problème!Peut être une interraction avec un autre logiciel!...

 

-Fais un clic droit (bouton droit de la souris) sur le lien ci-dessous, et choisis "Enregistrer sous"

Enregistre-le dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\DelDomains.inf) =>

 

- DELDOMAINS Mike Burgess

http://www.mvps.org/winhelp2002/DelDomains.inf

 

-Télécharger la version d'essai d'Ewido ici :

http://www.ewido.net/fr/

 

-Télécharge EasyCleaner

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

 

O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Je ne pense pas que tu ais émis ces restrictions?tu utilises Spybot?

 

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Exécute DelDomains

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

De plus je voudrais que tu télécharges Ewido pour voir si on détecte le responsable de ces popups!

 

Télécharger la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options"

 

décocher les deux options "Install background guard" et "Install scan via context

 

menu").Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour

 

puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner

 

puis sur scan complet du système.

 

Si Ewido trouve quelque chose que tu SAIS légitime (par exemple, des éléments de

 

AVG Antivirus, AOL, pcAnywhere et le jeu "Risk" ont été repérés), sélectionne

 

"Aucun" comme action. NE COCHE PAS "Effectuer cette action avec toutes les

 

infections". Si tu n'es pas sûr de la donnée, sélectionne "aucune" pour le moment.

 

Nous verrons cela dans le log que tu vas poster plus tard et nous te ferons savoir si

 

Ewido doit être relancé.

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer .

 

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification+ le rapport d'Ewido.

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...