Rapport Hijack à analyser

[Thanos]

salut SLYL,Jack

 

Bizarre ce message de Norton: ce fichier"msiexec.exe" appartient à Windows Installer Component

 

qui est légitime et utilisé pour l'installation de programmes!

 

On va quand même faire une recherche dessus!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Lance une recherche du fichier msiexec.exe sur tout le pc (Norton n'indique pas sa position qui devrait

 

être C:\windows\System32)

 

Combien en trouves tu? Si il n'est pas dans le dossier indiqué il y a de fortes chances que ce soit un fichier

 

pourri! Fais faire une analyse par le virusscan de Jotti:

 

http://virusscan.jotti.org/

 

ps:n'exécute pas le script pour l'instant!...il a l'air bien Ace Utilities!

[SLYL]

Salut Charles, Jack,

 

Ce fichier est en double exemplaire dans c:\windows\system32 et dans c:\windows\servicepack\files\i386.

Je les ai passé tous les deux par le virusscan de Jotti et aucun virus n'a été trouvé. Par contre, je tiens à signaler un fait intéressant... Lorsque je modifie les options de Norton AV (ne pas lancer au démarrage et ne pas utiliser auto-protect) et de Norton Antispam (bloquage des publicités)... il arrive que l'ordi ne puisse redémarrer en mode normal. Ce n'est pas systématique mais il me faut après utiliser Ace utilities pour nettoyer la base de registres et les fichiers tmp (junk files) pour réussir à redémarrer en mode normal... Donc la base de registre semble instable (ou corrompue ?) dans tous les cas... A moins que ce soit windows, d'ailleurs à ce sujet je rencontre un autre problème intéressant lorsque je veux me rendre sur des sites à partir d'une redirection en ".fr.st", le navigateur reste planté sur l'adresse et n'interpréte pas la redirection, hormis si je désactive NAV et NAS et que je redémarre au préalable... Tout ça pour dire qu'il y a quand même un malaise de fond auquel il faut que je puisse remédier (avec votre aide bien entendu !).

 

A+

 

SLYL

[Thanos]

salut SLYL,Jack

 

Norton,encore lui? pfff..... Effectivement le comportement est étrange!en temps normal, on te dirait

 

de désinstaller l'application puis de la réinstaller , mais avec Norton ca vire au marathon!

 

voilà ce que je trouve :

 

-dans C:\windows=> fichier $MSI31Uninstall_k893803$

*taille:4.51Mo

*dossier:spuninst

*fichiers:msi.dll, msiexec.exe,msimsg.dll...

 

-dans C:\windows\System32=> fichier msiexec

*taille:77ko

*date de création:25/02/05

*version du fichier:3.1.4000.1823

 

C'est tout! quelqu'un a autre chose?

 

Manifestement ce fichier C:\Windows\msiexec.exe peut se révéler être Win32/Oscarbot.B mais enfin rien

 

de sûr!! Dans le pire des cas il faudra l'effacer et réinstaller une version du fichier.

[SLYL]

Salut Charles, Jack,

 

J'ai recherché sur une autre machine ce fichier et je l'ai retrouvé en double exemplaire aux mêmes emplacements avec les mêmes propriétés... donc il semblerait qu'il n'y ait rien à craindre... Par contre vu le fonctionnement "capricieux" de norton, son "obsession" doit être un peu trop vigileant... J'attends un autre avis. Par contre, est-ce que ce ne serait pas judicieux de procéder à la "réparation" de windows (sans formater) mais à l'aide de l'option qui le permet... est-ce que ça permettrait pas de stabiliser son fonctionnement ?

 

A+

 

SLYL

[Thanos]

salut

 

tu reçois des messages d'erreur? tu peux faire vérifier l'intégrité des fichiers système ainsi:

* Insérer le CD-ROM de Windows XP dans le lecteur tout en maintenant la touche Maj appuyée afin d'éviter son exécution automatique

 

* Par Démarrer/Exécuter... (ou Windows+r), saisir la commande sfc /scannow (faire un espace entre sfc et le /).

 

Note: Pour obtenir la liste des paramètres utilisables avec la commande sfc, ouvrir une invite de commande par Démarrer/Exécuter... (ou Windows+r), saisir cmd A l'invite, taper sfc /?

 

Attention: Si utiliser un point de restauration pourrait être une solution au problème rencontré, commencer par procéder à la restauration du système. En effet, sfc /scannow, en remplaçant des fichiers système protégés, rendra les points de restauration inutilisables.

source La Tanière de PN

[SLYL]

Bonjour Charles, Jack,

 

Il y a bien longtemps que je n'étais pas venu vous solliciter... seulement cette semaine spy sweeper m'a avertit à plusieurs reprises qu'un programme voulez changer l'url d'internet explorer (qui n'était pas démarré par ailleurs)... Donc, j'ai de nouveau procédé à un scan, dont les résultats sont postés ci-après. J'ai également procédé à un Hijack (CF rapport)... au final il semblerait qu'il reste quelque chose dont je n'arrive à me débarasser... Conclusion... votre aide précieuse me serait de nouveau d'un grand secours... Par avance merci,

 

SLYL

 

****************************************************

********

11:53: | Start of Session, samedi 19 novembre 2005 |

11:53: Spy Sweeper started

11:53: Sweep initiated using definitions version 575

11:53: Starting Memory Sweep

11:56: Memory Sweep Complete, Elapsed Time: 00:02:16

11:56: Starting Registry Sweep

11:56: Found Adware: findthewebsiteyouneed hijacker

11:56: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236)

11:56: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269)

11:56: Registry Sweep Complete, Elapsed Time:00:00:08

11:56: Starting Cookie Sweep

11:56: Cookie Sweep Complete, Elapsed Time: 00:00:00

11:56: Starting File Sweep

12:19: File Sweep Complete, Elapsed Time: 00:22:52

12:19: Full Sweep has completed. Elapsed time 00:25:23

12:19: Traces Found: 2

13:32: Removal process initiated

13:32: Quarantining All Traces: findthewebsiteyouneed hijacker

13:32: Removal process completed. Elapsed time 00:00:08

********

10:27: | Start of Session, samedi 19 novembre 2005 |

10:27: Spy Sweeper started

10:27: Sweep initiated using definitions version 575

10:27: Starting Memory Sweep

10:29: Memory Sweep Complete, Elapsed Time: 00:02:11

10:29: Starting Registry Sweep

10:29: Found Adware: dollarrevenue

10:29: HKLM\software\microsoft\drsmartload\ (1 subtraces) (ID = 916795)

10:29: Found Adware: findthewebsiteyouneed hijacker

10:29: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236)

10:29: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269)

10:29: Registry Sweep Complete, Elapsed Time:00:00:08

10:29: Starting Cookie Sweep

10:29: Cookie Sweep Complete, Elapsed Time: 00:00:00

10:29: Starting File Sweep

10:37: Found Adware: targetsaver

10:37: zuroc.dll (ID = 195129)

10:52: File Sweep Complete, Elapsed Time: 00:22:46

10:52: Full Sweep has completed. Elapsed time 00:25:12

10:52: Traces Found: 5

10:58: Removal process initiated

10:58: Quarantining All Traces: dollarrevenue

10:58: Quarantining All Traces: findthewebsiteyouneed hijacker

10:58: Quarantining All Traces: targetsaver

10:58: Removal process completed. Elapsed time 00:00:11

********

07:24: | Start of Session, vendredi 18 novembre 2005 |

07:24: Spy Sweeper started

07:24: Sweep initiated using definitions version 573

07:24: Starting Memory Sweep

07:25: Memory Sweep Complete, Elapsed Time: 00:01:02

07:25: Starting Registry Sweep

07:25: Found Adware: findthewebsiteyouneed hijacker

07:25: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236)

07:25: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269)

07:25: Registry Sweep Complete, Elapsed Time:00:00:09

07:25: Starting Cookie Sweep

07:25: Found Spy Cookie: weborama cookie

07:25: administrateur@weborama[2].txt (ID = 3658)

07:25: Cookie Sweep Complete, Elapsed Time: 00:00:04

07:25: Starting File Sweep

07:46: File Sweep Complete, Elapsed Time: 00:21:05

07:47: Full Sweep has completed. Elapsed time 00:22:25

07:47: Traces Found: 3

07:50: Removal process initiated

07:50: Quarantining All Traces: findthewebsiteyouneed hijacker

07:50: Quarantining All Traces: weborama cookie

07:50: Removal process completed. Elapsed time 00:00:11

08:49: Your spyware definitions have been updated.

********

 

**********************************************************

 

Logfile of HijackThis v1.99.1

Scan saved at 08:27:39, on 20/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe

C:\Program Files\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe

C:\WINDOWS\System32\igfxtray.exe

C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[BipBip07]

Salut,

vérifie si ton PC ne contient pas les fichiers nommé sur Symantec et vérifie aussi ta base de registre:

findthewebsiteyouneed (tu vera si tu as l'inctection symantec propose un autil de nettoyage et la procedure):

http://securityresponse.symantec.com/avcen...comtoolbar.html

 

targetsaver:

http://securityresponse.symantec.com/avcen...argetsaver.html

 

dollarrevenue:

http://securityresponse.symantec.com/avcen...larrevenue.html

@+

[SLYL]

Bonjour BipBip 07, Charles et Jack,

 

Voici les résultats suite au scan de counter spy et spysweeper :

 

A chaque fois, les logiciels me proposent de les supprimer mais lors du prochain démarrage, je fais à nouveau un scan et ils sont toujours là... Pourtant je fonctionne bien en mode sans échec... Quelle est selon vous la piste à suivre ? D'autant que j'ai vérifié sur symantec s'il existait un outil de désinfection spécifique et n'ai rien trouvé... Vos conseils me seront donc précieux... Merci.

 

SLYL

 

Spyware Scan Details

Start Date: 21/11/2005 20:26:04

End Date: 21/11/2005 21:08:07

Total Time: 42 mins 3 secs

 

Detected spyware

 

Adware.cmdService Adware more information...

Details: Adware.cmdService runs as a Windows service.

Status: Deleted

 

Infected registry entries detected

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE NextInstance 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 DeviceDesc Command Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Class LegacyDriver

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 ConfigFlags 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Legacy 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Service cmdService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE NextInstance 1

 

 

********

19:01: | Start of Session, lundi 21 novembre 2005 |

19:01: Spy Sweeper started

19:01: Sweep initiated using definitions version 575

19:01: Starting Memory Sweep

19:02: Memory Sweep Complete, Elapsed Time: 00:01:13

19:02: Starting Registry Sweep

19:02: Found Adware: findthewebsiteyouneed hijacker

19:02: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 125236)

19:02: HKU\S-1-5-21-1085031214-1682526488-1343024091-500\software\microsoft\internet explorer\main\ || default_search_url (ID = 790269)

19:02: Registry Sweep Complete, Elapsed Time:00:00:09

19:02: Starting Cookie Sweep

19:02: Cookie Sweep Complete, Elapsed Time: 00:00:00

19:02: Starting File Sweep

19:22: File Sweep Complete, Elapsed Time: 00:20:21

19:22: Full Sweep has completed. Elapsed time 00:21:54

19:22: Traces Found: 2

20:25: Removal process initiated

20:25: Quarantining All Traces: findthewebsiteyouneed hijacker

20:25: Removal process completed. Elapsed time 00:00:10