Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Boîte de réception MSN "visitée"

cotes du rhone
 Partager

Messages recommandés

cotes du rhone Mega Power Member

cotes du rhone

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

je suis ennuyé par l'intrusion d'un spammer (qui m'envoie un spam quotidien depuis août 2005) dans ma boîte de réception; j'en ai parlé sur ce forum sécurité au § optimisation < http://forum.zebulon.fr/index.php?showtopic=90731&st=0 >et je viens d'y poster ce post que je vous transfère pour examiner SVP le rapport HJT où je suspecte un trojan

 

Voici le post:

«Salut horus agressor,

Un grand merci pour tes liens; je pourrais ne pas les connaître, mais je possède en complet les trois premiers.

Ce matin j'ai encore scanné mon PC en mode sans échec ( après avoir fait les mises à jour de mes logs) avec SpyBot S&D, Ad-Aware, Ewido et, après avoir désactivé la restauration système, avec a²-Squared. Bilan: 8 cookies insignifiants sous Ad-Aware (supprimés).

Pour ton info, je viens de passer HJT; en voici le rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 15:55:17, on 22/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Albert\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planet Internet

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: Online Support.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

J'ai souligné ce qui peut être un trojan. »

 

Et, voici ce que je trouve sous HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ < http://img89.imageshack.us/img89/262/screenshot1129th.gif > pour "wuauclt.exe"

 

Et voici ce que me donne une recherche Windows < http://img148.imageshack.us/img148/4903/screenshot1133ym.gif >, à noter la date du 22/03/06.

 

Merci beaucoup pour votre collaboration.

( Xp Pro, ZA Pro et KAS avp)

Modifié par cotes du rhone

tornado Full Patch Member

tornado

Posté(e)
Posté(e) (modifié)

Salut cotes du rhone,

 

 

 

Ton rapport à l'air propre, mais j'ai un doute sur cette ligne:

 

O4 - Startup: Online Support.lnk = ?

 

Attend l'avis d'un conseiller...

 

 

En attendant, tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, sauve le rapport puis colle-le dans ton prochain post

 

Un tuto en images --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

 

 

A+ :P

 

 

PS: Pour les valeurs de registre de ta capture, rien à signaler...

Modifié par tornado
cotes du rhone Mega Power Member

cotes du rhone

Posté(e)
  • Auteur
Posté(e)

Bonsoir tornado,

Et merci pour ta réponse

J'ajoute que j'ai fait un contrôle du fichier daté du 22/03/06 dans ma deuxième image avec Virustotal, voici:

 

This is a report processed by VirusTotal on 03/22/2006 at 17:52:44 (CET) after scanning the file "WUAUCLT.EXE-399A8E72.pf" file.

Antivirus Version Update Result

AntiVir 6.34.0.14 03.22.2006 no virus found

Avast 4.6.695.0 03.22.2006 no virus found

AVG 386 03.22.2006 no virus found

Avira 6.34.0.53 03.22.2006 no virus found

BitDefender 7.2 03.22.2006 no virus found

CAT-QuickHeal 8.00 03.22.2006 no virus found

ClamAV devel-20060126 03.22.2006 no virus found

DrWeb 4.33 03.22.2006 no virus found

eTrust-InoculateIT 23.71.108 03.22.2006 no virus found

eTrust-Vet 12.4.2129 03.22.2006 no virus found

Ewido 3.5 03.22.2006 no virus found

Fortinet 2.71.0.0 03.22.2006 no virus found

F-Prot 3.16c 03.22.2006 no virus found

Ikarus 0.2.59.0 03.22.2006 no virus found

Kaspersky 4.0.2.24 03.22.2006 no virus found

McAfee 4723 03.21.2006 no virus found

NOD32v2 1.1455 03.22.2006 no virus found

Norman 5.70.10 03.22.2006 no virus found

Panda 9.0.0.4 03.21.2006 no virus found

Sophos 4.03.0 03.22.2006 no virus found

Symantec 8.0 03.22.2006 no virus found

TheHacker 5.9.6.117 03.21.2006 no virus found

UNA 1.83 03.22.2006 no virus found

VBA32 3.10.5 03.22.2006 no virus found

 

Je ne sais pas ce qui a créé ce nouveau dossier aujourd'hui; mais alors que je le suspectais, VT n'y trouve rien.

 

J'ai essayé le scan en ligne, mais je n'ai pas les mêmes illustrations que sur le tuto et je ne sais pas lancer le scan alors qu'une page affiche que le scan a démarré ( mais rien après 10 minutes). Concurrence avec KAS ou ZA ??

 

Merci

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...