Page 1 sur 2

hijack this log aider moi a trouver ce qui cloche...

MessagePosté: 17 Mai 2004, 16:33
de topo
salut a tous
apres avoir eu une infection par coolwebsearch et sa presence recurente je suis aller sus le site assiste pour trouver des astuces
jai telecharger smartkiller et cwshreder .. desactiver la vm java et installer la java de sun ....
mais ca n a pas suffit voila jai fait un hijack this et supprimer donc les cle de registre en rapport avec searchpage et coolweb ...
voila ce qui reste maintenant :


Logfile of HijackThis v1.97.7
Scan saved at 17:31:32, on 17/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Opera7\opera.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "gernot"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "gernot"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .exe: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O12 - Plugin for .rar: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR21.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

---- deaFR21.exe jai cherche sur le net mais y a rien....


---- RdxIE2.cab et



merci de votre aide......
bye

MessagePosté: 17 Mai 2004, 17:07
de Kethryes
Je ne sais pas ce que c'est que ce flashget mais a mon avis c'est louche (a moins que ce soit toi qui l'aies installé)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

Un tas d'activeX plutôt inutiles (dire active X et inutile dans la même phrase est un pléonasme) :b
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR21.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

MessagePosté: 17 Mai 2004, 17:10
de topo
non t inquiete pas pour flashget cest un logiciel pour telecharger gros fichier sur le net...
pour les autres activeX je fais quoi je les supprime ?

MessagePosté: 17 Mai 2004, 17:23
de Vazkor
Bonjour,

Les activeX moins il y en a, mieux c'est. Donc tu les vires.

Au lieu de FlashGet, je te conseille LeechGet, qui lui est tout à fait sain: http://www.leechget.net/fr/

Même le Maître l'utilise, donc on ne peut que se rallier à son avis.

@+

MessagePosté: 17 Mai 2004, 17:34
de Jim Rakoto
Salut,

Deux ou trois réflexions

ceci : O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
c'est une adresse Real en douce
Sans doute realplayer donc tu fais bien de supprimer

Tu devrais privilégier navigation par Opera qui est autrement plus sécurisé que IE et garder celui-ci juste celui-ci pour Windowsupdate.

Il n'y a pas de pare-feu installé ce qui est une erreur rédhibitoire

Penser à installer spybot version 1.3 définitive qui devrait encore nettoyer des trucs
http://www.majorgeeks.com/download2471.html

A+

MessagePosté: 17 Mai 2004, 17:43
de topo
j'ai un routeur avec firewall donc c'est simple et plus léger...
j'ai tout viré pour les activeX
flashget c'est sain et c'est le menu contextuel bouton droit souris c'est normal....
et je tourne sous opera depuis un an...
mais j'utilise ie pour certains sites car opera des fois plante...

[Edité par JCM pour rendre ton message lisible. Pense à relire avant d'envoyer ;o) ]

MessagePosté: 17 Mai 2004, 18:34
de Vazkor
Bonjour,

A la place d'Opera qui est très bien, il y a aussi Mozilla, nettement mieux que IE!
Rien que de taper ces deux lettres me donne un haut le coeur!

@+

MessagePosté: 17 Mai 2004, 19:01
de Jim Rakoto
Salut,

Le pare-feu matériel est évidemment intéressant et utile.
Il protège bien contre une série d'attaques (DDos par ex.) par contre il ne peut gérer les connexions des applications sauf à connaitre tous les ports utilisés (65.000) et créer des règles .
Cela seul un pare-feu logiciel peut le permettre.
Il y a par exemple des services Windows qui n'ont pas à se connecter.
Ou pour Sasser, avec Outpost j'ai créé une règle stipulant que avserve.exe est bloqué et que le protocole TCP est bloqué en entrée si port distant 5554

A+

MessagePosté: 17 Mai 2004, 19:34
de Vazkor
Salut,

Un routeur ou un pare-feu matériel est quand même une sécurité formidable.
Notre routeur LinkSys ne me transmet que les réponses aux requêtes qu'il a envoyées. Tout le reste se casse la gueule sur un mur!

Mon PC est donc invisible depuis Internet. Mon pare-feu ne me sert qu'à voir ce qui veut sortir, parce que rien ne rentre en principe.

@+

MessagePosté: 18 Mai 2004, 17:09
de topo
ok merci de votre aide
mais coolwebsearch est revenu ... de temps en temps
jai tout essaye
-- redemarre en mode sans echec et utiliser smartkiller ensuite cwshredder

--- hijack this

--- installer java sun et desisntaller vm java de microsoft

--- utiliser adware et spybot...

---desactiver les activeX non signe etc...

--- decocher dans les propriete de Ie accepter navigation Iframe ....

et aujourdhui hop de retour avec page de demarrage about blank avec pop up qui dit qu un spyware a infecte mon ordinateur etc.......
j envoie adware et hop coolwebsearch est la......
jai donc desinstaller IE6 et je vais le reinstaller ......

une idee pour m en debarasser definitivement ?