help : analyse log hijackthis

bruce lee · le 8 avril 2006

bonjour angelique et kimy,

En mode sans echec :

demarrer\panneau de configuration\ajouts et suppressions de programmes et verifie la presence de:

Fun Web Products

emule

si ces programmes sont presents desinstallent les.

supprime ce qui est en gras:

C:\PROGRAM FILES\ FunWebProducts<== tout le dossier

C:\Documents and Settings\Administrateur\Mes documents\ eMule<== tout le dossier

C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\ SmileyCentralSetup2.0.2.7.exe <== le fichier

on va maintenant supprimer les restes dans le registre.

demarrer\executer\ regedit

avant toute chose faire une sauvegarde:

fichier\exporter

supprime ce qui est en gras (si present et surtout rien d'autre!!):

HKEY_USERS\S-1-5-18\Software\ Fun Web Products

HKEY_USERS\S-1-5-20\Software\ Fun Web Products

HKEY_USERS\S-1-5-19\Software\ Fun Web Products

HKEY_USERS\.DEFAULT\Software\ Fun Web Products

HKEY_CURRENT_USER\SOFTWARE\ MYWEBSEARCH

redemarre en mode normal et refais un scan chez panda et poste le rapport.

Modifié le 8 avril 2006 par bruce lee

kimy · le 8 avril 2006

pfffffffffffffffffffff!!!

Virus:W32/Ircbot.VU.worm Désinfecté C:\Documents and Settings\Administrateur\Mes documents\eMule\Incoming\(Pc-Game) Tetris Revolution 2005 (!!! Fantastic Tetris !!!).zip[tetris.exe]

eMule\Incoming\

et apres on s'etonne de trouver O4 - HKLM\..\Run: [Microsoft Windows Messenger ] C:\WINDOWS\system32\tetris.exe

-Soit tu as desinstallé ta mule,ce qui est pas plus mal!!,mais tu n'as pas viré le repertoire restant!!toute façon une des infections est passé par là,et hop un double clic sur tetris revolutruc.zip et on lance l'exe sans le scanner au préalable---chapeau!!clap!clap!!

-soit tu as dissimuler/effacer les lignes concernant la mule ds ton log.txt hijack,comme ça allez hop!! on fait bosser les membres sécu, surchargés de logs à analyser, pour qu'ils te virent tes merdes et hop.. je rerempli mon incoming.

cqfd!

Bonjour Angélique,

Juste une petite mise au point.

En ce qui me concerne, je n'ai pas effacé de ligne hijackthis avant de vous les soumettres !!!

Je sais reconnaitre mais limites et là c'était trop compliqué pour moi.

D'autre part, j'ai Norton 2006 à jour, et j'ai scanné tetris.exe avant de le lancer, sans qu'il ne détecte rien !!!

Alors, oui peut-être que j'ai été naïve de faire confiance à Norton quand je vois les infections qu'il y avait sur mon PC.

Mais je tiens juste à préciser que depuis plusieurs années que j'utilise un PC je n'avais jamais eut de problème aussi gros et surtout que je ne parvienne pas à résoudre toute seule, prudemment et avec de la persévérance et de la patience !! C'est la première fois ou je suis obligé de faire appel à un tutorial pour m'aider.

Autre précision : ce n'est pas moi qui utilise e-mule sur ce PC (même si j'ai fait l'erreur d'installer tetris) mais c'est moi qui m'y colle pour résoudre les problème. Alors le genre de remarque que tu as fait me semble déplacer !

kimy · le 8 avril 2006

bonjour angelique et kimy,

En mode sans echec :

demarrer\panneau de configuration\ajouts et suppressions de programmes et verifie la presence de:

Fun Web Products

emule

si ces programmes sont presents desinstallent les.

supprime ce qui est en gras:

C:\PROGRAM FILES\ FunWebProducts<== tout le dossier

C:\Documents and Settings\Administrateur\Mes documents\ eMule<== tout le dossier

C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\ SmileyCentralSetup2.0.2.7.exe <== le fichier

on va maintenant supprimer les restes dans le registre.

demarrer\executer\ regedit

avant toute chose faire une sauvegarde:

fichier\exporter

supprime ce qui est en gras (si present et surtout rien d'autre!!):

HKEY_USERS\S-1-5-18\Software\ Fun Web Products

HKEY_USERS\S-1-5-20\Software\ Fun Web Products

HKEY_USERS\S-1-5-19\Software\ Fun Web Products

HKEY_USERS\.DEFAULT\Software\ Fun Web Products

HKEY_CURRENT_USER\SOFTWARE\ MYWEBSEARCH

redemarre en mode normal et refais un scan chez panda et poste le rapport.

Merci Bruce-lee

Je fait les manips et je te poste le nouveau rapport en fin d'après-midi.

kimy · le 8 avril 2006

Hello Bruce-Lee,

J'ai supprimé les fichiers et refait un scan sur panda. Il n'y a plus de virus !

Voici le rapport pour ce qui concerne les spyware et outils indésirable :

Dernier rapport scan panda:

Incident Statut Analyse

Outil indésirable:application/mywebsearch No Désinfecté HKEY_LOCAL_MACHINE\SOFTWARE\FOCUSINTERACTIVE

Outil indésirable:application/funweb No Désinfecté HKEY_LOCAL_MACHINE\SOFTWARE\FUN WEB PRODUCTS

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Default User\Cookies\administrateur@xiti[1].txt

Outil indésirable:Application/HideWindow.A No Désinfecté C:\hp\bin\FondleWindow.exe

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

Outil indésirable:Application/KillApp.A No Désinfecté C:\hp\bin\Terminator.exe

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\HijackThis\backups\backup-20060407-194310-721.inf

Spyware:Cookie/Xiti No Désinfecté C:\WINDOWS\system32\config\systemprofile\Cookies\administrateur@xiti[1].txt

bruce lee · le 8 avril 2006

re,

télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/RegSearch.zip

- Dézippe dans un répertoire dédié tel que C:\Program Files

- Double clique sur RegSearch.exe

- Copie colle mywebsearch dans la première ligne de la zone de recherche

- Clique sur OK

- Après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- Le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- Copie-colle le contenu de la fenêtre dans un post, ici

ensuite tu fais la meme manip avec cette recherche:

funweb

et tu postes aussi le rapport

@+

kimy · le 8 avril 2006

OK

Si j'ai bien compris l'utilité de ce petit programme c'est pour reperer toutes les lignes ou apparaissent mywebsearch et fun web ?

A bientôt

Voici le rapport regSearch pour mywebseach

REGEDIT4

; Version: 1.0.2.4

; Results at 08/04/2006 19:08:44 for strings:

; 'mywebsearch'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Email-IM\0]

"AppName"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products]

"JpegConversionLib"="C:\\Program Files\\MyWebSearch\\bar\\1.bin\\F3CJPEG.DLL"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch]

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\bar]

"Dir"="C:\\Program Files\\MyWebSearch\\bar\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\bar]

"SettingsDir"="C:\\Program Files\\MyWebSearch\\bar\\Settings\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\bar]

"CacheDir"="C:\\Program Files\\MyWebSearch\\bar\\Cache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\bar]

"HistoryDir"="C:\\Program Files\\MyWebSearch\\bar\\History\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\SearchAssistant]

"Dir"="C:\\Program Files\\MyWebSearch\\SrchAstt\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\SearchAssistant]

"ABS"="http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZSzeb029XXFR_ZS&fl=0&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=kwd&ptnrS=ZSzeb029XXFR_ZS&PG=SEASUSH&SEC=ABMANY&searchfor="

[HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch\SearchAssistant]

"DES"="http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZSzeb029XXFR_ZS&fl=0&url=http://search.mywebsearch.com/mywebsearch/GGmain.jhtml&st=dns&ptnrS=ZSzeb029XXFR_ZS&PG=SEASUSH&SEC=DNS&searchfor="

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

[HKEY_USERS\S-1-5-21-260490125-4265042857-3157499947-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

; End Of The Log...

et le rapport pour funweb

REGEDIT4

; Version: 1.0.2.4

; Results at 08/04/2006 19:13:26 for strings:

; 'funweb'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products]

"CacheDir"="C:\\Program Files\\FunWebProducts\\Shared\\Cache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products\PopSwatter]

"HistoryDir"="C:\\Program Files\\FunWebProducts\\PopSwatr\\History\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products\ScreenSaver]

"ImagesDir"="C:\\Program Files\\FunWebProducts\\ScreenSaver\\Images\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products\Settings\CursorManiaBtn]

"LastHTMLMenuURL"="http://www.funwebproducts.com/CursorChooser.html"

[HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products\Settings\MyStationeryBtn]

"LastHTMLMenuURL"="http://www.funwebproducts.com/StationeryChooser.html?v=2"

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts]

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer]

"Dir"="C:\\Program Files\\FunWebProducts\\Installr\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer]

"CacheDir"="C:\\Program Files\\FunWebProducts\\Installr\\Cache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer\downloaded]

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\PopSwatter]

; End Of The Log...

bruce lee · le 8 avril 2006

OK
Si j'ai bien compris l'utilité de ce petit programme c'est pour reperer toutes les lignes ou apparaissent mywebsearch et fun web ?

ouaip! cet utilitaire sers a ca, je te prepare une procedure retour dans 10 minutes

bruce lee · le 8 avril 2006

re,

1/demarre en mode sans echec.

2/demarrer\executer\ regedit

avant tout, faire une sauvegarde:

fichier puis exporter (donne un nom simple et facil de facon a que tu t'en rappeles)

rend toi ici et supprime ce qui est en gras et surtout rien d'autres!:

HKEY_LOCAL_MACHINE\SOFTWARE\ FocusInteractive

HKEY_LOCAL_MACHINE\SOFTWARE\ MyWebSearch

HKEY_LOCAL_MACHINE\SOFTWARE\ Fun Web Products

rend toi ensuite ici et supprime ce qui est en gras et surtout rien d'autres!:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

HKEY_USERS\S-1-5-21-260490125-4265042857-3157499947-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

redemarre en mode normal.

reutilises reg search et tu fais une recherche sur:

MyWebSearch

tu postes le rapport et tu ensuite une recherche sur:

Fun Web Products

et tu postes egalement le rapport.

@+ et bon courage

kimy · le 8 avril 2006

Bon, me re-voilà

Voici les rapports regsearch

pour MyWebSearch

REGEDIT4

; Version: 1.0.2.4

; Results at 08/04/2006 20:06:50 for strings:

; 'mywebsearch'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

; End Of The Log...

pour Fun Web Products

REGEDIT4

; Version: 1.0.2.4

; Results at 08/04/2006 20:12:14 for strings:

; 'fun web products'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

et puis en supprimant leslignes que tu m'as indiqué j'ai vu une autre écriture FunWebProducts en attaché, donc je l'ai également cherché avec RegSearch

REGEDIT4

; Version: 1.0.2.4

; Results at 08/04/2006 20:16:47 for strings:

; 'funwebproducts'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts]

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer]

"Dir"="C:\\Program Files\\FunWebProducts\\Installr\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer]

"CacheDir"="C:\\Program Files\\FunWebProducts\\Installr\\Cache\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\Installer\downloaded]

[HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts\PopSwatter]

; End Of The Log...

Voilà

A= et encore merci de ta patience

bruce lee · le 8 avril 2006

re,

tu as bien fait de prendre l'initiative pour FunWebProducts :-P

en mode sans ehcec

tu te rend dans le registre.

supprime ce qui est en gras et surtout rien d'autre:

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ mywebsearch.net

HKEY_LOCAL_MACHINE\SOFTWARE\ FunWebProducts

redemarre en mode normal et refais un scan avec reg search(les deux meme

recherche,FunWebProducts et mywebsearch.net) et tu postes les deux rapports.

@+ je verifierai tes rapports surement ce soir( apres stargate )

EDIT: angelique

Modifié le 8 avril 2006 par bruce lee

Connexion

Pas encore inscrit ?

help : analyse log hijackthis

Messages recommandés

bruce lee

kimy

kimy

kimy

bruce lee

kimy

bruce lee

bruce lee

kimy

bruce lee

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer