hijackthis

[bruce lee]

oui tu as bien fais de me faire reposter un log.

le probleme est que je n'ai pu de CD vierge que des disquettes or easy cleaner fais plus de 1.44MO donc je ne pourrais pas l'utiliser.

Je fais ce que tu m'as dit en esperant que ca marche je repost des que possible.

[bruce lee]

re,

me voici me voila et pas avec des bonnes nouvelles

pour haxfix j'ai fais comme tu as dit sauf qu'il n'a pas redemarrer j'ai réessayé 3 fois et attendu 15 minutes aucun redemarrage donc pas de rapport mais a chaque fois a la fin il m'etait si je me souviens bien "not infection found"

pour hijackthis ce que tu as marqué tout a fonctionner sauf pour cette fameuse lignes 020 elle est tenance celle la!!.

je viens de remarquer qu'elle n'a que le SP1.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:54:53, on 18/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\apps\ABoard\ABoard.exe

C:\apps\ABoard\AOSD.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O5 "LPT1:" /M "Stylus CX6400"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

[Jack_Burton]

Arfff

Bon, nous allons bien finir par l avoir cette bipppp (censuré) de bipppppp(censuré) qui me bippppppp (censuré)

 

Bon ben voila ce que nous allons faire :

 

1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

 

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\axxt32]

 

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : axxt32.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\SYSTEM32\axxt32.dll

 

5/ Utilisation du fichier: axxt32.reg

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

 

6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 18 janvier 2006 par Jack_Burton

[bruce lee]

re,

si ca ne te derrange pas je vais essayer ca demain la je vais aller me coucher car demain ecole.

Sinon ce que j'avais marqué dans mon post supprimer la valeur dans le registre ca ne marcherait pas?

[Jack_Burton]

si ca ne te derrange pas je vais essayer ca demain la je vais aller me coucher car demain ecole.

Pas de probleme, je comprends tout a fait!

 

 

Sinon ce que j'avais marqué dans mon post supprimer la valeur dans le registre ca ne marcherait pas?

Oui, c est ce que je te demande de faire dans cette nouvelle procédure avec l édition d un fichier reg!

 

 

Bonne nuit, @ demain

[bruce lee]

bonsoir jake.

mauvaise nouvelle

ca n'as pas marché la bestiole de (censure) est encore la.

je pense qui va falloir la supprimer directement dans le registre si c'est le cas merci de me detaillé comment faudra faire.

bon appetit.

 

Logfile of HijackThis v1.99.1

Scan saved at 18:58:31, on 19/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\apps\ABoard\ABoard.exe

C:\apps\ABoard\AOSD.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O5 "LPT1:" /M "Stylus CX6400"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

[Jack_Burton]

Bonsoir,

 

je pense qui va falloir la supprimer directement dans le registre si c'est le cas merci de me detaillé comment faudra faire.

C est ce que nous avons fait avec le fichier reg!

 

Télécharge Rootkit Revealer!

Dézippe le puis scan ton systeme avec!

Lorsque c est fini clique sur File>Save et save the results puis poste le résultat je te prie

[bruce lee]

re,

C est ce que nous avons fait avec le fichier reg!

ok, j'avais pas compris que c'etait la meme chose que de supprimer la valeur.

je fais l'analyse avec ton utilitaire et je repost si il n'est pas trop tard.

[bruce lee]

me re voici.

 

voila la rapport demandé

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\€ 19/06/2005 17:25 0 bytes Key name contains embedded nulls (*)

C:\!KillBox\axxt32.dll 12/01/2006 18:09 36.88 KB Hidden from Windows API.

C:\WINDOWS\system32\axxt32.dll 18/01/2006 12:11 36.88 KB Hidden from Windows API.

C:\WINDOWS\system32\axxt32.sys 12/01/2006 18:09 4.00 KB Hidden from Windows API.

C:\WINDOWS\system32\axxt64.sys 12/01/2006 18:09 19.48 KB Hidden from Windows API.

C:\WINDOWS\system32\klogini.dll 12/01/2006 18:09 0 bytes Hidden from Windows API.

C:\WINDOWS\system32\p3.ini 12/01/2006 18:43 320 bytes Hidden from Windows API.

C:\WINDOWS\system32\qy.sys 12/01/2006 18:09 4.00 KB Hidden from Windows API.

C:\WINDOWS\system32\qz.dll 12/01/2006 18:09 36.88 KB Hidden from Windows API.

C:\WINDOWS\system32\qz.sys 12/01/2006 18:09 19.48 KB Hidden from Windows API.

 

il me le met toujours dans system32 j'ai reverifié 3 fois il n'y est pas ce fameux axxt32.dll et je te jure que je n'ai pas bu!

ca veut dire quoi Hidden from Windows API.?

[Jack_Burton]

Bonjour Bruce,

 

Désolé pour hier j ai pas pu revenir!

Nous sommes a présent fixés et nous avons l outil pour régler ton probleme!

Il s agit bien d une variante de Haxdoor mais l autre jour, je t ai donné une ancienne version de Haxfix! Nous allons recommencer avec la derniere version !

 

Donc voila ce que tu vas faire :

 

1/ Désinstalle l ancienne version de Haxfix via le panneau de config (Ajout/Suppression de programmes ; Haxfix)

 

2/ Télécharge haxfix.exe (par Marckie).

 

Sauvegarde le sur ton Bureau.

Double clique sur haxfix.exe afin de l'installer (par défaut, il s'installe dans C:\Program Files).

Lorsqu'installé, assure toi que "Launch HaxFix" soit coché (la boîte est cochée par défaut).

Une fenêtre "DOS" avec fond rouge va apparaître.

Tu verras "Press any key to continue.."; appuie sur une touche du clavier pour continuer.

Ce message s'affichera :

Insert the haxdoor notify subkey without the numbers,

and then press enter:

Tu dois taper ceci : axxt

Appuie sur "Entrée".

 

Si l'infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres ("Close all windows").

Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l'outil), et appuie sur "Entrée".

Ton PC va redémarrer.

Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt

...ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Modifié le 20 janvier 2006 par Jack_Burton