analyse rapport HijackThis Flav...merci

[bruce lee]

re,

il reste encore du boulot a effectuer

analyse en cours retour dans 10 minutes

[bruce lee]

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec.

 

 

lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

choisis all files

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\System32\doriot.exe

C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

 

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

normalement tu dois etre en mode normal.

 

va sur ce site:

1- http://virusscan.jotti.org/

fais analyser:

C:\Windows\ xpupdate.exe et communique moi le rapport et poste en meme temps un nouveau

log hijackthis

Modifié le 15 mars 2006 par bruce lee

[flav]

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec.

lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

choisis all files

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\System32\doriot.exe

C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

normalement tu dois etre en mode normal.

 

va sur ce site:

1- http://virusscan.jotti.org/

fais analyser:

C:\Windows\ xpupdate.exe et communique moi le rapport et poste en meme temps un nouveau

log hijackthis

 

bonsoir, et merci pour tout mais rien ne va plus...

 

 

J'ai fait ce que tu demande mais

 

 

1) je ne peux cocher aucune des lignes que tu me demande dans HijackThis (elles n'apparaissent pas)

2) Dans KillBox un message me dit que les fichiers recherchés ont été supprimé par un processus externe

3) Je ne peux pas lancer de scan sur le site de virus scan : "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

 

je commence à être inquiet...

[Thanos]

salut flav ,bruce lee

 

Juste pour faire avancer le shmilblick flav:

 

Assure toi que les fichiers en question on bien disparu:

 

-C:\Documents and Settings\Fchampeaux\Temp\1A.tmp

(tu peux vider le contenu du dossier Temp)

 

-C:\WINDOWS\System32\doriot.exe

 

N'oublie pas ceci pour le voir:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Quant à celui ci , il est infectieux je pense : C:\Windows\xpupdate.exe

 

Reposte un nouveau rapport hijackthis pour bruce lee stp

Modifié le 16 mars 2006 par charles ingals

[flav]

salut flav ,bruce lee

 

Juste pour faire avancer le shmilblick flav:

 

Assure toi que les fichiers en question on bien disparu:

 

-C:\Documents and Settings\Fchampeaux\Temp\1A.tmp

(tu peux vider le contenu du dossier Temp)

 

-C:\WINDOWS\System32\doriot.exe

 

N'oublie pas ceci pour le voir:

Quant à celui ci , il est infectieux je pense : C:\Windows\xpupdate.exe

 

Reposte un nouveau rapport hijackthis pour bruce lee stp

 

Bonjour, et merci Charles

 

je vois ça demain soir merci...

 

a+

[flav]

salut flav ,bruce lee

 

Juste pour faire avancer le shmilblick flav:

 

Assure toi que les fichiers en question on bien disparu:

 

-C:\Documents and Settings\Fchampeaux\Temp\1A.tmp

(tu peux vider le contenu du dossier Temp)

 

-C:\WINDOWS\System32\doriot.exe

 

N'oublie pas ceci pour le voir:

Quant à celui ci , il est infectieux je pense : C:\Windows\xpupdate.exe

 

Reposte un nouveau rapport hijackthis pour bruce lee stp

 

Bonjour,

 

je viens de sivre scrupuleusement la manip demandée...je crois qu'il reste du travail !

 

Logfile of HijackThis v1.99.1

Scan saved at 18:24:32, on 17/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095620160484

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[bruce lee]

bonjour,

 

ma parole elles sont costauds tes bestioles

 

je te prepare une procedure retour dans 10 minutes

[bruce lee]

re,

on va d'abord essayer pour une ligne.

 

ATTEND CONFIRMATION DE CHARLES

 

déconnecte toi du net et fermes toutes les applications en cours.

 

ouvre le bloc note.

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"wersds.exe"=-

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : wersds.exe.reg

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

redemarre en mode sans echec

 

fixe la ligne

 

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

 

supprime ce qui est en gras:

 

C:\WINDOWS\System32\ doriot.exe<=le fichier

 

*Utilisation du fichier: wersds.exe.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

 

redemarre en mode normal et repost un nouveau log hijackthis.

Modifié le 17 mars 2006 par bruce lee

[Thanos]

salut flav,bruce lee

 

Tout a fait d'accord bruce lee, il faut aussi virer les clavleurs présentes dans le clés :

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

et aussi HKEY_CURRENT_USER.

 

Je remanie juste la procédure si tu veux bien bruce

 

flav, je te répond dans un instant!

[Thanos]

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

ouvre le bloc note.Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wersds.exe"=-
"Key"=-
"Windows update loader"=-

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

 

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

 

O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

*Redémarre en mode Sans Échec

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

*Supprime le fichier en gras dans C::

 

c:\secure32.html

 

*Supprime le fichier en gras dans C:\WINDOWS:

 

C:\Windows\xpupdate.exe

 

*Supprime le fichier en gras dans C:\WINDOWS\System32:

 

C:\WINDOWS\System32\doriot.exe

 

*Supprime le contenu du dossier en gras

 

C:\Documents and Settings\Fchampeaux\Temp

 

*Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport du scan suivant:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

 

Excuse la lenteur de ma réponse flav!! j'était pris ailleurs quelques instants!

 

Pour bruce: les clés de registre run sont sous HKCU en fait, j'avais pas vu tout de suite!