Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

probleme

lomaster

Par lomaster
dans Analyses et éradication malwares

 Partager

Messages recommandés

lomaster Extrem Member

lomaster

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

voila le log hijackthis, ewido, ad aware et spybot, CShredder ne trouve rein, panda lui me trouve:

 

 

Adware:adware/wupd Non désinfecté Registre Windows

 

je sais pas quoi faire, j'ai regarder sur le net avec le nom de Wup, on trouve sur le site de panda:

 

de supprimer les clés suivantes:

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Winad Client

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

WindUpdates

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Winad Client

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Wind Updates

 

et egalement celle-ci:

 

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Winad Client

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

WindUpdates

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Winad Client

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Wind Updates

 

 

HKEY_CLASSES_ROOT\ Bridge.brdg

 

HKEY_CLASSES_ROOT\ Bridge.brdg.1

 

HKEY_CLASSES_ROOT\ WinadX.Installer

 

HKEY_CLASSES_ROOT\ CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}

 

HKEY_CLASSES_ROOT \CLSID\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

 

HKEY_CLASSES_ROOT\ TypeLib\ {DDAF2479-6F00-4599-998A-3ED75686C6D0}

 

HKEY_CLASSES_ROOT\ Interface\ {4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12}

 

HKEY_LOCAL_MACHINE\ SOFTWARE\ Winad Client

 

elles n'y sont pas, sur un autre site, celle-ci:

 

KLM\Software\Microsoft\Windows\CurrentVersion\Run\WUPD

 

elle n'y est ps égalemetn, que faire???

 

merci de vos reponses.

 

 

du nouveau :

 

Scan de McAfee :

 

C:\System Volume Information\...\A0119126.exe BackDoor-CHC

C:\System Volume Information\...\A0119129.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0119186.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0119584.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0119593.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0119598.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0119722.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0120781.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121117.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121173.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121250.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121299.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121339.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121387.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121634.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0121661.exe BackDoor-CHC

C:\System Volume Information\...\A0121663.exe BackDoor-CHC

C:\System Volume Information\...\A0121666.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0122504.dll BackDoor-CHC.dll

C:\System Volume Information\...\A0122727.exe Swizzor.gen

 

je vais rechercher egalement.

Modifié par lomaster

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut lomaster

 

Et le log hijackthis? Fais le en suivant la procédure suivante:

 

http://forum.zebulon.fr/index.php?showtopic=69176

 

Par contre,tes fichiers de restauration systèmes sont vérolés d'apres le scan de MacAfee!

 

Tu pourrais désactiver la restauration système ,ce qui aurait pour effet d'effacer les infections détectées,

 

mais je te conseille plutôt d'attendre une fois ton pc désinfecté!Il est préférable de garder la possibilité de

 

pouvoir restaurer le système si le le pc devient instable entre temps.

lomaster Extrem Member

lomaster

Posté(e)
  • Auteur
Posté(e) (modifié)

voila le log, je crois ne pas me tromper en disant que rien d'infectueux n'est présent ( enfin j'espere):

 

Logfile of HijackThis v1.99.1

Scan saved at 15:31:14, on 12/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Norman\NVC\BIN\ZLH.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\WINDOWS\system32\wscntfy.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\WINDOWS\System32\alg.exe

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\NORMAN\Nvc\Bin\niu.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Benoît\Mes documents\Mes fichiers reçus\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.flosykzeks.com/lOQlDPHu_zmZot6E...PQ8V6xrB2D8.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wtatour.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab28578.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Modifié par lomaster
lomaster Extrem Member

lomaster

Posté(e)
  • Auteur
Posté(e)

voila le log, je crois ne pas me tromper en disant que rien d'infectueux n'est présent ( enfin j'espere):

 

Logfile of HijackThis v1.99.1

Scan saved at 15:31:14, on 12/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ATI-CPanel\atiptaxx.exe

C:\Norman\NVC\BIN\ZLH.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Norman\NVC\BIN\Zanda.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\NORMAN\Nvc\BIN\NYMSE.EXE

C:\NORMAN\Nvc\BIN\NIP.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\NORMAN\Nvc\BIN\nvcoas.exe

C:\WINDOWS\system32\wscntfy.exe

C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

C:\NORMAN\Nvc\BIN\nipsvc.exe

C:\NORMAN\Nvc\BIN\NJEEVES.EXE

C:\WINDOWS\System32\alg.exe

C:\NORMAN\Nvc\BIN\cclaw.exe

C:\NORMAN\Nvc\Bin\niu.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Benoît\Mes documents\Mes fichiers reçus\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.flosykzeks.com/lOQlDPHu_zmZot6E...PQ8V6xrB2D8.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wtatour.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab28578.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

voila ce qui se presente dans la bdr quand on recherche wupd:

 

HKEY_CURRENT_USER

Software/Microsoft/Windows/CurrentVersion/App Management / Showupdates

 

faut-il la supprimer? je suis pas sûr.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)
HKEY_CURRENT_USER

Software/Microsoft/Windows/CurrentVersion/App Management / Showupdates

Laisse cette clé tranquille :P elle est légitime. Je fais une analyse de ton log, à priori rien de méchant sur

 

ton rapport.Pour ce qui est de Wupd,on va faire une recherche avec Regsearch=>

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle Wupd dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

tirol Extrem Member

tirol

Posté(e)
Posté(e)

Salut Lomaster, Charles_Ingals,

 

du lop dans l'air !

tu te rappelles la manip, charly ?

 

tirol.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

-TéléchargeEasyCleaner(installe le dans son dossier)

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.flosykzeks.com/lOQlDPHu_zmZot6E...PQ8V6xrB2D8.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

Reviens sur la page principale de Hijackthis:

 

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

Oh Sir Tirol :P j'étais justement en train de l'écrire,ne voyant pas dans le rapport de fichiers associés à LOP!

Edit: à demain lomaster=> "Laisse cette clé tranquille icon_lol.gif elle est légitime" je te chariais un peu,fais pas attention :P

Modifié par charles ingals
lomaster Extrem Member

lomaster

Posté(e)
  • Auteur
Posté(e)

Bonjour a tous, Charle,

 

en faite .ce que Panda trouve dans la BDR, c'est pas bien grave, il semble qu'il ne s'agisse que d'une trace résiduelle, un reliquat d'une précédente infection...car il infecter ce dossier: DeskAd Service or je l'avais supprimer donc c'est tres certainement une trace résiduelle

 

puis le probleme des mises a jour a ete regler avec :

 

executer: regsvr32 wuaueng.dll

 

sa a débloquer je ne sais quoi et les mises a jour meme sur le site son desormé possible...

 

Merci quand même.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...