hijackthis

[bruce lee]

bonjour jake.

 

Désolé pour hier j ai pas pu revenir!

tu n'as pas a t'escuser tu es la quand tu peux, deja que vous faites du benevola vous allez pas etre non plus à notre disposition.

 

Nous sommes a présent fixés et nous avons l outil pour régler ton probleme!

bonne nouvelle alors!

je fais tout ca se soir la je dois retourné à l'ecole.

[bruce lee]

re,

est ce que tu pourrais m'expliquer s'il te plait:

 

ca veut dire quoi Hidden from Windows API.?

 

et aussi comment tu as su que c'etait une variante de haxdor.

 

bonne nouvelle la ligne 020 a disparu je te remercie beaucoup pour ton aide.

je te post les rapports demandés.

HAXFIX logfile

--------------

by Marckie

 

 

haxdoor key: axxt

 

 

searching for services....

services found

 

 

deleting services.....

[sWSC] StopService FAIL

[sWSC] DeleteService SUCCESS

[sWSC] StopService FAIL

[sWSC] DeleteService SUCCESS

 

 

rebooting the computer.....

 

 

haxdoor notify subkey: axxt

 

 

searching for services....

services not found

 

 

checking if files are found.....

axxt32.dll exist

axxt64.sys exist

qz.dll exist

qz.sys exist

klogini.dll exist

p3.ini exist

qy.sys exist

ps.a3d exist

klgcptini.dat not found

stt82.ini not found

 

 

deleting files.....

 

 

checking if files are deleted.....

axxt32.dll not found

axxt64.sys not found

klgcptini.dat not found

qz.dll not found

qz.sys not found

stt82.ini not found

klogini.dll not found

p3.ini not found

qy.sys not found

ps.a3d not found

 

Finished

 

celui de Hijackthis:(qu'est ce qu'il est plus beau ce log sans la ligne 020 )

 

Logfile of HijackThis v1.99.1

Scan saved at 18:46:45, on 20/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\Explorer.EXE

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\apps\ABoard\ABoard.exe

C:\apps\ABoard\AOSD.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [EPSON Stylus CX6400 (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P29 "EPSON Stylus CX6400 (Copie 1)" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O5 "LPT1:" /M "Stylus CX6400"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

[Jack_Burton]

Bonsoir,

 

Le rapport est propre en effet!

As tu toujours des dysfonctionnements?

 

est ce que tu pourrais m'expliquer s'il te plait:

 

CITATION

ca veut dire quoi Hidden from Windows API.?

Littéralement ca veut dire "dissimuler dans les API Windows"

 

Qu est ce qu une API?

API = Applications Programming Interface (interface de programmation d'application)

Pour faire simple, disons qu une API a pour but de faciliter le travail d'un programmeur en lui fournissant les outils de base nécessaires à tout travail à l'aide d'un langage donné. Elle constitue une interface servant de fondement à un travail de programmation plus poussé.

Pour en savoir plus sur les API tu peux aller ici!

Modifié le 20 janvier 2006 par Jack_Burton

[bruce lee]

re,

c'est bon pu de problemes mais j'ai encore quelques questions à te poser sur ce sujet dois je te les poser sur le forum ou par MP?

[Jack_Burton]

Comme tu veux

 

et aussi comment tu as su que c'etait une variante de haxdor.

Oups, j avais pas vu cette question!

J ai fais des recherches sur ta dll néfaste! Et c est la que j ai pris connaissance de haxfix! J ai trouvé un lien pour ce logiciel! Manque de bol, c était une vieille version! QC001 est tombé sur notre discussion et m a envoyé par MP le lien pour la nouvelle version de Haxfix et le discours en boite qui allait avec!

Modifié le 20 janvier 2006 par Jack_Burton

[Mark]

Petit update les amis ;

 

Ce fichier avait été détecté par RootkitRevealer, mais pas par HaxFix :

 

C:\WINDOWS\system32\axxt32.sys

 

Bruce : tu peux faire une recherche sur la bécane, et le supprimer si tu le trouves. Pas bien grave si tu trouves pas, car le fichier ne semble pas avoir causé de réinfection (à lui seul), donc juste un rebu.

 

J'ai avisé Marckie de sa présence, et l'outil a été mis à jour en incluant ce fichier.

[bruce lee]

bonsoir,

quand j'avais son PC je suis sur qu'il n'y avait pas de axxt32.exe et n'y de axxt32.sys

merci quand meme

bonne fin de soirée.

[Mark]

LOL !! Les fichiers étaient bien là... juste bien cachés !!

 

Un rootkit (et ces fichiers) est généralement caché de l'interface que nous avons avec Windows. Certains peuvent être vus en mode Sans Échec par contre ; ça dépend quel "niveau" de rootkit est installé. Je ne connais pas les détails pour Haxdoor, donc je ne peux que spéculer. Ayant tué l'infection principale, il est possible que tu puisses voir ce fichier maintenant. Si tu le vois pas, essaie en sans échec. Finalement, si invisible toujours, repasse RootkitRevealer et tu en auras le coeur net