Rapport hijack...

[elef]

2eme essai....!

Arf pas bon...

 

Ayéééé..

[AgnesD]

Oki je comprends mieux.

Ben ceci peut être du a pas mal de choses...

et là je te ne serais pas d'une grande utilité...

Pose peut être ta question dans la section "software" en mettant un lien vers ce sujet si on te demande de nettoyer.

[elef]

Oki je comprends mieux.

Ben ceci peut être du a pas mal de choses...

et là je te ne serais pas d'une grande utilité...

Pose peut être ta question dans la section "software" en mettant un lien vers ce sujet si on te demande de nettoyer.

Je suis entrain de faire un scan avec ewido et il m'a trouvé des infections (downloader,agen,uj) me semble t'il...mais j'avais deja fais ce scan avec les memes infections mais ca revient sans cesse...ke faire..?

[elef]

Voila le nom exact :Win32:agent-IU (trj)..

Ca te dis quelque chose,y'en a ds le registre et ds le volume information restore..?

[elef]

Re..

Bon voila ewido c'est fini et il a trouvé des trucs,par contre il me dit qu'il n'arrive pas a supprimer quelques fichiers,j'envoie le rapport...

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 21:12:59, 18/04/2006

+ Somme de contrôle: 55B31F1C

 

+ Résultats du scan:

 

[588] VM_00D60000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[612] VM_00C90000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1688] VM_00BC0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[468] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[804] VM_00920000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1152] VM_00A00000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1204] VM_00C40000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1172] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1228] VM_008B0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1328] VM_00890000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[1428] VM_00840000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[3712] VM_00E20000 -> Downloader.Agent.uj : Erreur durant le nettoyage

[3812] VM_009A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@zedo[2].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Local Settings\Temporary Internet Files\Content.IE5\S9QB4XEV\script-34[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Nettoyer et sauvegarder

[elef]

RE,re..

Bon apparement ca se trouve ds la memoire,que dois-je faire...j'arrive pas a les supprimer avec ewido...?!

[AgnesD]

Excuse moi pour hier soir....

mais on ne peut pas toujours être présents...

Tu va faire ceci.

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBC84197-1098-4AEA-8D50-66039FEE1FF4}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2B6C94B-BF4E-4D24-8B0B-5475A8F4B2CC}: NameServer = 85.255.115.26,85.255.112.110

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

Redémarre ton ordi en mode sans echec et fait un scan avec Ewido.

poste nous aussi le rapport.

[elef]

Maginfiiiique....

Bonjour AgnesD,

T'inquietes pas,je sais bien que vous pouvez pas etre a disposition tout le temps,c'est deja super sympa ke tu prennes de ton tps pour regler les problemes des autres (8.00h ce matin....Merci..)..

Deja je n'ai plus la fenetre comme j'me connecte au net,c'est cool...

Voila les rapport:

Running processes:

 

J:\WINDOWS\System32\smss.exe

J:\WINDOWS\system32\winlogon.exe

J:\WINDOWS\system32\services.exe

J:\WINDOWS\system32\lsass.exe

J:\WINDOWS\system32\svchost.exe

J:\WINDOWS\System32\svchost.exe

J:\WINDOWS\system32\spoolsv.exe

J:\WINDOWS\Explorer.EXE

J:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

J:\Program Files\Alwil Software\Avast4\ashServ.exe

J:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

J:\Program Files\CursorXP\CursorXP.exe

J:\Program Files\Logitech\SetPoint\SetPoint.exe

J:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

J:\Program Files\ewido anti-malware\ewidoctrl.exe

J:\WINDOWS\System32\svchost.exe

J:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

J:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe

J:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

J:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

J:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

J:\Program Files\Alwil Software\Avast4\ashWebSv.exe

J:\Program Files\Internet Explorer\iexplore.exe

J:\Program Files\Shareaza\Shareaza.exe

J:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - j:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - j:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avast!] J:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CursorXP] J:\Program Files\CursorXP\CursorXP.exe

O4 - Startup: Stardock ObjectDock.lnk = J:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: UberIcon.lnk = J:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = J:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe

O4 - Startup: Y'z ToolBar.lnk = J:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Logitech SetPoint.lnk = J:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://j:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - J:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Pages liées - res://j:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://j:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://j:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Surligner en Rose - J:\WINDOWS\web\MarqueurFluoPink.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://j:\program files\google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1141682912531

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - J:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - J:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - J:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - J:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - J:\Program Files\ewido anti-malware\ewidoctrl.exe

 

 

Fixwareout ver 1.003

Last edited 04/09/2006

Post this report in the forums please

 

Reg Entries that were deleted

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

...

Arf j'ai oublié le rapport ewido,j'tenvoie deja ceux là et je vais faire le dernier.

Juste en passant pkoi j'ai trois lignes(20,23,23) avec ecrit file missing en bout de ligne ?

Re,

voila le dernier il m'en a trouvé encore un et a reussi a le supprimer..

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 14:16:09, 19/04/2006

+ Somme de contrôle: CB39E06F

 

+ Résultats du scan:

 

HKU\S-1-5-21-839522115-1606980848-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

J:\WINDOWS\system32\csbqr.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder

 

Dc voila tout a l'air a peu pres normal,a part les trois lignes precedement citées.

Mais j'me pose des questions quand meme,comment as tu fais pour me trouver le bon logiciel pour ce virus(j'ai cherché et pas trouvé),est-il recent,comment as t-il fait pour rentrer ds mon pc et est-ce que j'dois changer d'antivirus..?!

Je sais ca fait bcp de questions a la fois,mais j'suis curieux de nature et j'aime bien comprendre..

Koi kil en soit j't'e remercie bcp pour ton aide et com d'hab je parle de la Zebulon' family autour de moi ....

Merci.

Modifié le 19 avril 2006 par elef

[AgnesD]

Excuse de pas avoir répondu j'avais pas vu que ton post avait été édité.

 

Beaucoup de questions.

C'est ton nom de trojan qui m'a indiqué la route aprés recherches.

les lignes 017 correspondaient.

j'avoue que je n'avais pas du premier coup vu quoi que ce soit.

Bon j'aimerai que tu désactive puis réactive ta restauration systéme.

Désactiver puis réactiver a restauration systéme pour Windows XP:Ainsi vous supprimez tous les anciens points de restauration potentiellement infectés.

Une fois réactivée créez un premier point de restauration, vous repartirez ainsi, sur des bases saines..

Démarrer-> clic droit sur le poste de travail ->Propriétés-> onglet "Restauration du système"-> "Désactiver la Restauration du système"-> Appliquer-> un message vous préviens que tous vos points de restauration seront supprimés -> Ok

Puis redémarrez l'ordinateur.

Ensuite pour réactiver la restauration du système : faire l'inverse.

Aprés cela vide la quarantaine d'Ewido.

Puis redémarre en mode sans echec , rescanne avec Ewido.

recolle moi le rapport.

je ne suis pas sure que cela soit net a 100%

 

Comment on attrape cela....

vas t'en savoir...

Mauvais sites, installations en douce, protection limitte les sources d'infection sont nombreuses.

Ton antivirus (avast) n'est pas mauvais mais de toute façon ce n'est pas suffisant.

Je t'engage a regarder les topics différents de ce forum, en coin prévention, a un peu surfer sur des sites d'initiation a la sécurité.

En résumé une information et une recherche personnelle.

http://gerard.melone.free.fr/IT/IT-NoSpyw.html

http://assiste.free.fr/

http://benoit.aun.free.fr/securite-facile-php/index.php

http://xp.net.free.fr/

[elef]

bonjour' AgneD,

Alors merci pour tes reponses,je tacherai d'etre plus vigilant les prochaines fois.Tu m'as pas dit pour les 3 lignes avec le "file missing" en fin de ligne sur mon rapport hijack..c'est grave ..?

Donc je t'envoie le dernier rapport d'ewido(il a juste trouvé des cookies rien de bien alarmant),j'avais deja retiré la restauration du systeme lors des precedents scans et voila le resultat..

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 00:03:48, 21/04/2006

+ Somme de contrôle: 6B03BAAC

 

+ Résultats du scan:

 

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@paycounter[1].txt -> TrackingCookie.Paycounter : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

J:\Documents and Settings\luis fonseca\Cookies\luis fonseca@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

 

 

::Fin du rapport

Voila en te remerciant encore pour ton aide....