Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Spy Falcon analyse HijackThis

crag

Par crag
dans Analyses et éradication malwares

 Partager

Messages recommandés

crag Member

crag

Posté(e)
Posté(e)

Bonjour, je suis novice et j'ai essayé de suivre plusieurs eradications de Spy Falcon sur votre forum mais sans succes avec SmitDraudFix notamment.

 

Mais là j'ai toujours ce problème du message en bas à droite " Virus ALert" qui envoie l'installation de Spy Falcon.

Voici le rapport de HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 12:02:09, on 04/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\necmfk\necmfk.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Scansoft\PaperPort\pptd40nt.exe

C:\WINDOWS\TPPALDR.EXE

C:\Program Files\Apoint2K\Apntex.exe

C:\OfficeScan NT\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Telelogo\MTransfr\bin\MtSystray.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Telelogo\MTransfr\BIN\SERVICE.EXE

C:\OfficeScan NT\ntrtscan.exe

C:\Telelogo\MTransfr\BIN\MTScheduler.exe

C:\OfficeScan NT\OfcPfwSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\OfficeScan NT\tmlisten.exe

C:\WINDOWS\TEMP\TS572.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 172.31.0.18 NTS-FR-SRV-01

O1 - Hosts: 172.31.0.14 nsrvtdm1

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\Scansoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\Scansoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Gestionnaire de MediaTransfer Client.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O10 - Unknown file in Winsock LSP: c:\program files\neoteris\secure application manager\samnsp.dll

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25eab0055a136a...RdxIE601_fr.cab

O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MediaTransfer Scheduler Client - Unknown owner - C:\Telelogo\MTransfr\BIN\SERVICE.EXE" -F:MSERVICE_SCHEDULER.INI (file missing)

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

O23 - Service: XircomService - Xircom - C:\XIRCOM\ISDN\XircomService.exe

 

 

Merci de votre aide!

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

bonjour crag et bienvenue sur zebulon :P

on va commencer par se debarasser de spyfalcon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dezipper la totalité de l'archive smitfraudfix.zip

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

 

poste ce rapport

Modifié par bruce lee
crag Member

crag

Posté(e)
  • Auteur
Posté(e)

Merci de m'aider

 

voici le rapport:

 

SmitFraudFix v2.21

 

Rapport fait à 12:19:13,52 le 04/03/2006

Executé à partir de C:\Documents and Settings\hermes\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

 

[HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\System32\ginuerep.dll"

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]

@="C:\WINDOWS\System32\ginuerep.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\System32\ginuerep.dll

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

crag Member

crag

Posté(e)
  • Auteur
Posté(e)

Salut le fichier .dll est supprimé et apparemment ça ne revient pas !!

 

je te remercie beaucoup.

 

peut-être dois-je vérifier autre chose?

 

en tout cas MERCI Bruce Lee tu es très efficace.

 

@+

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)
Salut le fichier .dll est supprimé et apparemment ça ne revient pas !!

 

je te remercie beaucoup.

 

peut-être dois-je vérifier autre chose?

 

en tout cas MERCI Bruce Lee tu es très efficace.

 

@+

bonne nouvelle maintenant on s'occupe des autres bestioles :P

analyse en cours retour dans 15 minutes

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

Que veux-tu dire?

 

J'ai d'autres problèmes?

 

tu as d'autres bestioles dans ton log.

 

 

avant d'aller plus loin dans l'analyse j'ai besoin de savoir si tu connais:

 

O1 - Hosts: 172.31.0.18 NTS-FR-SRV-01

O1 - Hosts: 172.31.0.14 nsrvtdm1

Modifié par bruce lee
crag Member

crag

Posté(e)
  • Auteur
Posté(e)

O1 - Hosts: 172.31.0.18 NTS-FR-SRV-01

=> ça c'est sûr c'est un serveur de mon boulot car mon ordi est un ordi professionnel

 

O1 - Hosts: 172.31.0.14 nsrvtdm1

=> ça je ne sais pas vraiment mais c'est peut-être la même chose !!

 

voilà !

crag Member

crag

Posté(e)
  • Auteur
Posté(e)

O1 - Hosts: 172.31.0.18 NTS-FR-SRV-01

=> ça c'est sûr c'est un serveur de mon boulot car mon ordi est un ordi professionnel

 

O1 - Hosts: 172.31.0.14 nsrvtdm1

=> ça je ne sais pas vraiment mais c'est peut-être la même chose !!

 

voilà !

Bruce Lee qu'en dis tu ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...