Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]rapport hijackthis


Kalidas

Messages recommandés

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers.

Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vuhkr.dll/sp.html#87649

 

O2 - BHO: Class - {4D4601F5-8E7E-0E4E-5736-315F1F6D86C7} - C:\WINDOWS\system32\winbo32.dll

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\vuhkr.dll

-C:\WINDOWS\system32\winbo32.dll

 

-Relance Ewido et vire tout ce qu'il a trouvé.

 

-Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Ps:Ewido montre un nombre d'infections impressionnant, mais il va s'en occuper!

courage :P

 

 

Merci pour l'encouragement

Voilà le log HJT :

 

Logfile of HijackThis v1.99.1

Scan saved at 00:30:04, on 08/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Creative\SBExtigy\RemoteCenter\Rc\Rcman.exe

C:\Palm\HOTSYNC.EXE

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program Files\HijackThis\HijackThis.exe

 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\SBExtigy\RemoteCenter\Rc\Rcman.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Lien vers le commentaire
Partager sur d’autres sites

salut Kalidas

 

Ahh , on y vois plus clair :P Bon ton log ne montre plus rien d'infectieux! Tu fais ceci pour terminer:

 

-Panda(scan en ligne):

http://www.pandasoftware.com/products/acti...CACHEHINT=Guest

 

Poste le rapport si il trouve quelque chose. Comment fonctionne le pc à présent?Tu as pensé à désactiver la

 

restauration système puis la réactiver?

 

Apres ca on parlera de sécurité si tu veux bien!

Lien vers le commentaire
Partager sur d’autres sites

salut Kalidas

 

Ahh , on y vois plus clair :P Bon ton log ne montre plus rien d'infectieux! Tu fais ceci pour terminer:

 

-Panda(scan en ligne):

http://www.pandasoftware.com/products/acti...CACHEHINT=Guest

 

Poste le rapport si il trouve quelque chose. Comment fonctionne le pc à présent?Tu as pensé à désactiver la

 

restauration système puis la réactiver?

 

Apres ca on parlera de sécurité si tu veux bien!

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Charles

 

(très impressionné par tes réponses si matinales)

 

voila mon rapport Activescan :

 

Incident Status Location

 

Adware:adware/navipromo No disinfected C:\WINDOWS\SYSTEM32\sdkhr32.exe

Spyware:spyware/petro-line No disinfected C:\Documents and Settings\caroetbenni\Favoris\SITES ABOUT\Ab scissor.url

Adware:adware/searchaid No disinfected C:\Documents and Settings\caroetbenni\Favoris\Search the web.url

Adware:adware/antivirus-gold No disinfected C:\WINDOWS\desktop.html

Adware:adware/twain-tech No disinfected C:\WINDOWS\smdat32a.sys

Adware:adware/fisearch No disinfected C:\PROGRAM FILES\iSearch Firefox Installer

Adware:adware/lop No disinfected C:\Documents and Settings\caroetbenni\Favoris\ Business and Finance

Spyware:spyware/dluca No disinfected Windows Registry

 

Fin du rapport

Lien vers le commentaire
Partager sur d’autres sites

salut kalidas

 

Quelques cochoneries à virer!

 

-Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

 

-Télécharge About:Buster :

http://downloads.subratam.org/AboutBuster.zip

 

Dézippe le dans un répertoire dédié place un raccourci sur le bureau et mets à jour

 

Redémarre en mode sans échec:

 

Assure toi d'avoir accès à tous les fichiers.

 

Lance deux fois About:Buster

 

Supprime les fichiers suivants si toujours présents:

 

-C:\WINDOWS\SYSTEM32\sdkhr32.exe

 

-C:\WINDOWS\desktop.html

-C:\WINDOWS\smdat32a.sys

 

-C:\Documents and Settings\caroetbenni\Favoris\SITES ABOUT\Ab scissor.url

-C:\Documents and Settings\caroetbenni\Favoris\Search the web.url

-C:\Documents and Settings\caroetbenni\Favoris\ Business and Finance

 

-C:\PROGRAM FILES\iSearch Firefox Installer

 

-Passe EasyCleaner "Inutiles" et "Registre" uniquement!!Ne touche pas à la fonction Doublon

 

 

- dézippe RegSearch.exe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle dluca dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

Lien vers le commentaire
Partager sur d’autres sites

salut kalidas

 

Quelques cochoneries à virer!

 

-Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

 

-Télécharge About:Buster :

http://downloads.subratam.org/AboutBuster.zip

 

Dézippe le dans un répertoire dédié place un raccourci sur le bureau et mets à jour

 

Redémarre en mode sans échec:

 

Assure toi d'avoir accès à tous les fichiers.

 

Lance deux fois About:Buster

 

Supprime les fichiers suivants si toujours présents:

 

-C:\WINDOWS\SYSTEM32\sdkhr32.exe

 

-C:\WINDOWS\desktop.html

-C:\WINDOWS\smdat32a.sys

 

-C:\Documents and Settings\caroetbenni\Favoris\SITES ABOUT\Ab scissor.url

-C:\Documents and Settings\caroetbenni\Favoris\Search the web.url

-C:\Documents and Settings\caroetbenni\Favoris\ Business and Finance

 

-C:\PROGRAM FILES\iSearch Firefox Installer

 

-Passe EasyCleaner "Inutiles" et "Registre" uniquement!!Ne touche pas à la fonction Doublon

- dézippe RegSearch.exe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle dluca dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Oui Charles,

 

"copie-colle dluca", oui mais d'où ? ça m'a posé problème, je me suis contenté de saisir dluca

heureusement j'ai lu quelque part sur le forum : quand on pose une question on est con 5 minutes,

quand on ne la pose pas, on le reste toute sa vie!

 

voilà le RegSearch.txt :

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 08/11/2005 22:25:32 for strings:

; 'dluca'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

Lien vers le commentaire
Partager sur d’autres sites

"copie-colle dluca", oui mais d'où

J'ai pas du être assez explicite! Il s'agissait de copier dluca dans la zone de recherche de Regsearch!

 

Regsearch ne trouve rien:

 

Regarde si tu trouves ceci=>

 

-C:\Windows\System32\msinstall\dlu32\dluca\dluca.exe

-C:\Windows\System32\dluca-uninstall.exe

 

As tu viré les autres fichiers?

 

edit:je vais bosser! je te lirai demain matin!

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

J'ai pas du être assez explicite! Il s'agissait de copier dluca dans la zone de recherche de Regsearch!

 

Regsearch ne trouve rien:

 

Regarde si tu trouves ceci=>

 

-C:\Windows\System32\msinstall\dlu32\dluca\dluca.exe

-C:\Windows\System32\dluca-uninstall.exe

 

As tu viré les autres fichiers?

 

edit:je vais bosser! je te lirai demain matin!

 

bon, j'ai copié collé dluca à partir de ton post et refait ta procédure, voilà le résultat de regsearch :

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 08/11/2005 23:58:00 for strings:

; 'dluca'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

les deux fichiers dluca sous system32 restent introuvables

oui, les autres ont été virés

 

ton diagnostic, docteur ?

en tout cas merci, à demain :P

Lien vers le commentaire
Partager sur d’autres sites

salut kalidas :P

 

La recherche avec "Registry Search" ne donne rien!

 

Par contre Spybot S&D a dans ses définitions virales de janvier le spyware downloader dluca!

 

On va tenter de t'en débarrasser avec!

 

-Télécharge Spybot S&D,met le à jour:

http://www.safer-networking.org/fr/index.html

 

-sa configuration(n'utilise pas le TeaTimer):

http://www.zebulon.fr/articles/spybot_1.php

 

Scane le pc en mode sans échec ,vire tout ce qu'il trouve et garde le rapport.

 

Nettoie le pc avec EasyCleaner.

 

Redémarre et refais le scan en ligne , poste ce qu'il trouve:

 

-Panda(scan en ligne):

http://www.pandasoftware.com/products/acti...CACHEHINT=Guest

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...