HIJACTHIS

moicefilipevou · le 7 février 2006

pour

-C:\windows\winsys.exe => le fichier

-C:\WINNT\Downloaded Program Files\ipreg32.inf => le fichier

j'ai fait tout ce qui suit mais ils ne sont pas apparu. Mystere...

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

voicy le nouveau raport de reg

REGEDIT4

; Version: 1.0.2.4

; Results at 06/02/2006 18:08:45 for strings:

; 'microsoft media tools'

; 'network monitor'

; 'win subservice'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

; End Of The Log...

et celui de panda activescan

Incident Statut Analyse

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Ph B\Cookies\philippebloesch@serving-sys[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Ph B\Cookies\philippebloesch@xiti[1].txt

Spyware:Spyware/Iehelp No Désinfecté C:\WINNT\Downloaded Program Files\ipreg32.inf

Spyware:Spyware/Media-motor No Désinfecté C:\WINNT\eeedo.exe

Spyware:Spyware/Media-motor No Désinfecté C:\WINNT\eeedo.exe[eee2.exe]

Spyware:Spyware/Media-motor No Désinfecté C:\WINNT\surv3.exe

Virus Eventuel. No Désinfecté C:\WINNT\system32\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\wsbsvc.exe

Thanos · le 7 février 2006

salut moicefilipevou

Une petite remarque pour commencer: le fichier remove.reg que je te fais faire et enregistrer sur le bureau a une icône qui doit représenter un cube de couleur verte et pas l'icône d'un fichier au format texte, est ce le cas? lorsque tu le créé respecte bien ceci pour que ca fonctionne:

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg => ne pas oublier l'extension .reg(en bas de page!)

-Type : tous les fichiers

-cliquer sur Enregistrer

De plus il faut le faire en mode sans échec.

Panda a détecté quelques malwares!

1)Télécharge la version d'essai d'Ewido=>ici :

et l'installer (important: pendant l'installation, sur la page "Additional Options"

décocher les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

2)Redémarre en mode sans échec.

3)-Réessaie la manipulation avec le fichier remove.reg .Un message te demandera la fusion,accepte.Elimine le fichier reg.

4)-Supprime les fichiers/dossiers incriminés (en gras) :

-C:\WINNT\eeedo.exe => le fichier

-C:\WINNT\surv3.exe => le fichier

-C:\WINNT\system32\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\wsbsvc.exe=> le fichier

-Vide la corbeille.

5)Lances Ewido et cliquer sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

6)-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

-Redémarre en mode normal, poste le rapport d'Ewido et fais s'il te plait la recherche suivante avec Regsearch et poste le résultat =>

{21ec2020-3aea-1069-a2dd-08002b30309d}

moicefilipevou · le 13 février 2006

je ne comprend pas vraiement ce qui se passe

je fait comme tu me dit (j'obtient bien le logo de la base de registre pour le fichier reg)

et j'obtiens cela pour la recherche apres avoir fait un remove

EGEDIT4

; Version: 1.0.2.4

; Results at 13/02/2006 21:00:19 for strings:

; 'microsoft media tools'

; 'network monitor'

; 'win subservice'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WSBSVC]

"DisplayName"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WSBSVC]

"DisplayName"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"Service"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS\0000]

"DeviceDesc"="MicroSoft Media Tools"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"Service"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]

"DeviceDesc"="Network Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSBSVC]

"DisplayName"="Win SubService"

; End Of The Log...

peut etre que cela n'a pas d'importance mais je n'ai pas desactivé la restoration du systeme

pour ce qui est de wsbsvc impossible a trouver c'est comme ipreg32 le dossier a une icone diferente que les autres et il n'y a que des programes a l'interieur

le seul wsbsvc que je trouve est c:\winnt\prefetch\WSBSVC.EXE-22FA4FAD.pf

le resultat du regsearch est le suivant

REGEDIT4

; Version: 1.0.2.4

; Results at 13/02/2006 20:54:03 for strings:

; '{21ec2020-3aea-1069-a2dd-08002b30309d}'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\shellex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\shellex\ExtShellFolderViews]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\shellex\ExtShellFolderViews\{5984FFE0-28D4-11CF-AE66-08002B2E1262}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\ShellFolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ControlPanelInMyComputer]

"ValueName"="{21EC2020-3AEA-1069-A2DD-08002B30309D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\MSSHAudioDevHandler]

"InitCmdLine"="::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\\::{21EC2020-3AEA-1069-A2DD-08002B30309D}\\::{640167b4-59b0-47a6-b335-a6b3c0695aea}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideMyComputerIcons]

"{21EC2020-3AEA-1069-A2DD-08002B30309D}"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\Controls]

@="{21EC2020-3AEA-1069-A2DD-08002B30309D}"

[HKEY_USERS\S-1-5-21-220523388-1123561945-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideMyComputerIcons]

"{21EC2020-3AEA-1069-A2DD-08002B30309D}"=dword:00000001

[HKEY_USERS\S-1-5-21-220523388-1123561945-839522115-1000\Software\Microsoft\Windows\ShellNoRoam\DUIBags\ShellFolders\{21EC2020-3AEA-1069-A2DD-08002B30309D}]

; End Of The Log...

le resultat d'ewido est le suivant

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 20:38:25, 13/02/2006

+ Somme de contrôle: 3ABA36A5

+ Résultats du scan:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winds_24 -> Adware.CoolWebSearch : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@2o7[2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\[email protected][1].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\philippebloesch@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Ph B\Cookies\[email protected][1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\WINNT\system32\70tovmto.ini -> Adware.Sahat : Nettoyer et sauvegarder

C:\WINNT\system32\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\TDbot.dll -> Backdoor.Subot.a : Nettoyer et sauvegarder

D:\hihan\definitif\photomodeler bizarre\PhotoModeler Pro v5.0(1)\SVCHOST.EXE -> Not-A-Virus.HackTool.Win32.SFind.0921 : Nettoyer et sauvegarder

D:\INSTALL PC 8mai2003\_ INTERNET\Gozilla\GOZILLA.EXE -> Adware.Aureate : Nettoyer et sauvegarder

D:\INSTALL PC 8mai2003\_ INTERNET\get right\RGL15.EXE/TSUninst.exe -> Adware.TimeSink : Erreur durant le nettoyage

D:\INSTALL PC 8mai2003\_ INTERNET\eudora pro 3 fr\EUDPASS.COM -> Not-A-Virus.HackTool.DOS.Eudpass : Nettoyer et sauvegarder

D:\INSTALL PC 8mai2003\_ INTERNET\eudora pro 3 fr\EUDPASS.ZIP/EUDPASS.COM -> Not-A-Virus.HackTool.DOS.Eudpass : Erreur durant le nettoyage

D:\INSTALL PC 8mai2003\_ INTERNET\eudora mot de passe\EUDPASS.COM -> Not-A-Virus.HackTool.DOS.Eudpass : Nettoyer et sauvegarder

::Fin du rapport

et le nouveau raport de panda

Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Ph B\Cookies\philippebloesch@xiti[1].txt

Spyware:Spyware/Iehelp No Désinfecté C:\WINNT\Downloaded Program Files\ipreg32.inf

Virus Eventuel. No Désinfecté C:\WINNT\system32\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\wsbsvc.exe

j'en perd mon latin comme on dit....

Thanos · le 14 février 2006

salut moicefilipevou

Bon il y a quelques fichiers réfractaires!! on va utiliser killbox pour les éliminer:

-1) Télécharge la dernière version de Killbox sur ton Bureau =>

http://www.downloads.subratam.org/KillBox.zip

Lance KillBox en double-cliquant killbox.exe.

Choisis l'option "Delete on reboot".

Copie le texte en gras ci-bas (sélectionne, clic-droit >> "Copier") :

C:\WINNT\Downloaded Program Files\ipreg32.inf

C:\WINNT\system32\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\wsbsvc.exe

C:\WINNT\system32\spootlv.exe

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".

Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

Clique sur le bouton : All Files (!important!)

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

-2) Après redémarrage:

*vide le dossier (en gras )de son contenu :

-c:\winnt\prefetch

* Ewido a détecté un adware dans le fichier "uninstall" de ce logiciel: ReGet 1.5 Free

mais n'est pas parvenu àl'effacer!Par contre il en a éliminé pas mal!!

D:\INSTALL PC 8mai2003\_ INTERNET\get right\RGL15.EXE/TSUninst.exe=> élimine le.

-vide la corbeille.

je ne comprend pas vraiement ce qui se passe

Désolé de ne pas avoir expliqué ce qu'on faisait!! Alors voilà:

Les recherches que je te demande de faire avec regsearch,c'est en fait destiné à mettre en évidence les services que l'on arrive pas à fixer avec hijackthis.(les lignes 023 de ton rapport=>Win SubService - MICROSOFT_MEDIA_TOOLS - NETWORK_MONITOR) Elles sont planquées dans la base de registre

-3)Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_MEDIA_TOOLS]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSBSVC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSBSVC]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSBSVC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WSBSVC]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WSBSVC]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSBSVC]

-Enregistrer ce fichier dans : Bureau

-Nom du fichier :fix.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

-Redémarre en mode sans échec.

-Clique sur le fichier fix.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

-4) Redémarre et refais la recherche avec regsearch comme celle que tu as posté et met ici le résultat stp.

Allez courage, on va y arriver

Pour info,es tu parvenu à éliminer ces fichiers?=>

-C:\WINNT\eeedo.exe => le fichier

-C:\WINNT\surv3.exe => le fichier

Modifié le 16 février 2006 par charles ingals

moicefilipevou · le 14 février 2006

ca a l'air de s'ameliorer

seul hic je n'ai pas pu suprimer spootlv.exe il n'en veux pas

tous les autres sont partis ainsi que

-C:\WINNT\eeedo.exe => le fichier

-C:\WINNT\surv3.exe => le fichier

ci joint les raports

REGEDIT4

; Version: 1.0.2.4

; Results at 14/02/2006 19:35:02 for strings:

; 'microsoft media tools

'

; 'network monitor

'

; 'win subservice'

; '{21ec2020-3aea-1069-a2dd-08002b30309d}

'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSBSVC\0000]

"DeviceDesc"="Win SubService"

; End Of The Log...

Incident Statut Analyse

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Ph B\Cookies\[email protected][1].txt

Spyware:Cookie/Versiontracker No Désinfecté C:\Documents and Settings\Ph B\Cookies\philippebloesch@versiontracker[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Ph B\Cookies\philippebloesch@xiti[1].txt

Adware:Adware/IST.YourSiteBar No Désinfecté C:\Documents and Settings\Ph B\Local Settings\Temporary Internet Files\Content.IE5\YLWNYT25\CADF3DNH.HTM

Thanos · le 14 février 2006

salut moicefilipevou

Aaaah on y voit plus clair!!

Un fichier infecté trouvé par Panda:

-C:\Documents and Settings\Ph B\Local Settings\Temporary Internet Files\Content.IE5=> vide le contenu de ce dossier.

Comme tu as pu constater, tous les services ont disparu mis a part celui ci=> Win SubService

Fais ceci pour le virer:

-vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant:Win SubService (WSBSVC)

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

-vas dans le menu démarrer executer et tu tapes :cmd

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete WSBSVC

Un message t'avertis du succès de l'opération.

Ensuite tu repostes un nouveau raport hijackthis en mode normal+ la recherche avec regsearch, mais juste avec cet élément dans le champs de recherche=> WSBSVC

moicefilipevou · le 15 février 2006

pour le fichier decouvet par panda=> effacé

par contre pas de win subservice dans services.msc

autre chose qui as peut etre de l'importance

j'ai sur c: un dossier qui s'apelle "System Volume Information" quand je veut regarde dedant il me refuse l'acces alors que je suis administrateur

de plus ce matin AVG (mon anti virus) a trouvé un trojan horse generic 00B dedans.

et mon dique c reduit a vue d'oeuil en capacité j'ai perdu presque 1G depuis deux ou trois jour.

C'est grave Docteur ?

Thanos · le 15 février 2006

salut moicefilipevou

J'aurais besoin d'un nouveau rapport hijackthis stp!

est ce que tu as fait ceci?=>

sc delete WSBSVC

AVG (mon anti virus) a trouvé un trojan horse generic 00B dedans.

tu sais ou il se trouve?

Modifié le 15 février 2006 par charles ingals

moicefilipevou · le 16 février 2006

Logfile of HijackThis v1.99.1

Scan saved at 12:08:26, on 16/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\Tablet.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\SymTray.exe

C:\WINNT\system32\VTTimer.exe

C:\WINNT\SOUNDMAN.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Iomega\DriveIcons\ImgIcon.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINNT\system32\ctfmon.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINNT\system32\WTablet\TabUserW.exe

C:\Program Files\Starfish\TrueSync\TSTool.exe

C:\Program Files\MediaKey\Versato.exe

C:\Program Files\MediaKey\MePlayer.exe

C:\Program Files\MediaKey\OSD.EXE

C:\WINNT\explorer.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [symTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtray.exe SetReg

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"

O4 - HKLM\..\Run: [iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe

O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program Files\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINNT\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINNT\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINNT\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINNT\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINNT\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [svchost] C:\WINNT\system32\CONTRO~1.{21\emm386.exe install

O4 - HKLM\..\RunOnce: [symTray - Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\Symtrdr.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\WTablet\TabUserW.exe

O4 - Global Startup: TrueSync Launcher.lnk = C:\Program Files\Starfish\TrueSync\TSTool.exe

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\GHOSTS~2.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe

O23 - Service: UPSA - TDQ - C:\WINNT\system32\CONTRO~1.{21\emm386.exe

est ce que tu as fait ceci?=>

sc delete WSBSVC

oui je l'ai fait et il me repond le service spécifié n'existe pas en tant que service instalé

pour le trojan il l'a mis en quarantaine

Thanos · le 16 février 2006

salut moicefilipevou

UPSA - TDQ repointe le bout de son nez!, on va le virer dans la base de registre aussi!

-1) Lance KillBox en double-cliquant killbox.exe.

Choisis l'option "Delete on reboot".

Dans la boîte "Full Path of File to Delete",copie ceci:

C:\WINNT\system32\CONTRO~1.{21

Clique sur le bouton : Single File (!important!)

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

-2) Après redémarrage:

*-vas dans le menu démarrer executer et tu tapes : services.msc

Cherche le service suivant:UPSA - TDQ

Double clic dessus :dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"

Quitte les services.

-vas dans le menu démarrer executer et tu tapes :cmd

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete UPSA - TDQ

Un message t'avertis du succès de l'opération.

Avec Regsearch(et oui encore ) fais une recherche sur ces deux occurences:

UPSA - TDQ

WSBSVC

Poste un nouveau rapport hijackthis + le rapport de la recherche avec regsearch. Allez courage

Connexion

Pas encore inscrit ?

HIJACTHIS

Messages recommandés

moicefilipevou

Lien vers le commentaire

Partager sur d’autres sites

Thanos

Lien vers le commentaire

Partager sur d’autres sites

moicefilipevou

Lien vers le commentaire

Partager sur d’autres sites

Thanos

Lien vers le commentaire

Partager sur d’autres sites

moicefilipevou

Lien vers le commentaire

Partager sur d’autres sites

Thanos

Lien vers le commentaire

Partager sur d’autres sites

moicefilipevou

Lien vers le commentaire

Partager sur d’autres sites

Thanos

Lien vers le commentaire

Partager sur d’autres sites

moicefilipevou

Lien vers le commentaire

Partager sur d’autres sites

Thanos

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer