Mon résultat Hijack this (enfin log)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Mon résultat Hijack this (enfin log)

Messagede Didier » 12 Jan 2005, 13:02

Bonjour, je mets ici le résultat d'Hijack this car j'ai trompé sans doute entre les forums (hijack=piratage, je suis vraiment pas à la page même comme néophyte) et vous trouverez mon sujet dans "protection de la vie privée" (ça me paraissait être le bon forum!)


Logfile of HijackThis v1.99.0
Scan saved at 12:17:54, on 12/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Packard Bell EverSafe\TrayControl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\explorer.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Aurore\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/Default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0D19111-8185-4EF4-B081-6C2A3899E8FE}: NameServer = 212.151.136.246 130.244.127.161
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravure de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Merci à tous, j'y connais vraiment rien...
Didier
 

Messagede Crios » 12 Jan 2005, 14:01

Bonjour,

Répétion du texte que j'ai écrit à un autre endroit:

Tu peux faire réaliser une évaluation automatique de ton log ici:

http://www.hijackthis.de/fr

Attention, prudence pour supprimer des lignes, l'évaluation fait parfois preuve d'ignorance. Dans le doute, abstiens-toi et prends tes renseignements.

Bonne chance.
Avatar de l’utilisateur
Crios
 
Messages: 30
Inscription: 09 Jan 2005, 05:14

Messagede Jim Rakoto » 12 Jan 2005, 14:14

Copie réponse

Salut,

en attendant une analyse plus pousée, déjà un petit trojan ici :
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe

http://www.pestpatrol.com/pestinfo/w/win32_clickme.asp

Avec ctrl+alt+del , arrêter le processus trojan.win32.clickme.exe

Faire une recherche avec windows explorer de : trojan.win32.clickme.exe et l'effacer si présent.

En désactivant la restauration système (touche windows + pause)

ceci aussi pourrait être le trojan PWS-Wexd
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe

Vérifier dans registre si cette clé existe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"edx"=c:\windows\ech.exe

Démarrer > exécuter > taper regedit
Puis descendre dans l'arborescence
Si présente, éliminer.
http://vil.nai.com/vil/content/v_100476.htm

Enfin vbsys2.dll est aussi à éliminer
donc voir cette page où Tesgaz a rencontré le même cas
http://forum.zebulon.fr/index.php?s=d33 ... ntry443751

Tu passes donc Spybot comme ceci :

Dans Spybot
Tu choisis Mode avançé ( à côté de Fichiers tout en haut > Mode)
Tu vas dans Outils et tu coches toutes les cases :
Dans la colonne de gauche les cases cochées apparaissent sous forme de menu
Tu vas dans
Outils > BHOs > tu supprimes ceux qui ne sont pas cochés en vert
Outils ActiveX > idem
Outils > pages navigateur > tu coches les lignes inconnues, tu cliques sur changer et tu choisis dans le menu déroulant About:blank (ceci va te bloquer les pages IE anormales)
Outils > effaceur de sécurité > aller dans "Modèles" > tu choisis : "ajouter fichiers du cache internet" (ce sont les fichiers temporaires dans lesquels se trouvent les spywares pour se relancer en permanence) > tu cliques sur déchiqueter la liste qui apparaît
Tu choisis ensuite toujours dans modèles : "ajouter les fichiers du dossier temp > tu cliques à nouveau sur déchiqueter > tout se met avec un V en vert
Puis tu vas dans fichiers Hosts et tu sélectionnes "ajouter fichiers Hosts (ceci va te protéger contre des sites malveillants)
Toujours dans Outils, tu choisis "Résident" et tu coches la case devant SDhelper (FAIT)
Ensuite tu vas dans Réglages > modules additionnels et tu coches les deux cases tout en bas
Tu vas ensuite dans Vaccination et tu vaccines
Ouf !!
Il n'y a plus qu'à lancer Spybot pour vérifier !
cocher tout ce qu'il trouve, y compris les cases en vert et clic sur "corriger problèmes" .
Il devra terminer en relançant le PC.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Didier » 12 Jan 2005, 15:04

Alors j'ai tout fais ce que tu m'as dit... sauf:

Avec ctrl+alt+del , arrêter le processus trojan.win32.clickme.exe

Faire une recherche avec windows explorer de : trojan.win32.clickme.exe et l'effacer si présent.


Parce que en faisant ça je ne le trouve pas dans mes processus.

Ni ça:

Outils > pages navigateur > tu coches les lignes inconnues, tu cliques sur changer et tu choisis dans le menu déroulant About:blank (ceci va te bloquer les pages IE anormales)


parce que j'ai pas compris comment

Merci pour tout je vais attendre demain pour voir si il y a des résultats.

Didier.
Didier
 

Messagede césar » 12 Jan 2005, 18:05

bonjour didier,

en ce qui concerne "outils->navigateurs"; il faut que tu utilise spybot en mode "avancé".
@ plus.
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Didier » 13 Jan 2005, 08:58

Bonjour à tous,

avant d'aller plus loin certaines personnes, dont les admins du forum où c'est déclaré mon problème, me préconisent le reformatage de mon disque dur :cry:

Est ce la bonne solution? Je l'ai formaté Samedi premier janvier, et ce fut la première fois que je faisai ça, je n'aime pas trop, mais bon si c'est une bonne chose...

J'ai cet ordinateur depuis 1 an et 2 mois. Je n'ai pas les disques industriels, j'ai du les faire moi même, une arnaque de grande distribution ça...

Que me conseillez vous?

Et comment une fois le formatage acompli dois je m'y prendre pour ne plus rencontrer ce genre de problème, je suppose qu'il me faudra illiquo repasser par ce site, effectuer la Manip, blinder mon pc avec les petits logiciels anti spy, mais ça me chiffonne car si en 10 jours j'ai chopé autant de trucs, en 1 heure je vais en avoir combien...

Didier, désèspéré, un peu quand même.
Didier
 

Le plus important est de mettre un bon firewall

Messagede Jimre » 13 Jan 2005, 10:14

Apparement, ton souci vient du fait que tu n'as pas installé de firewall.
Après avoir supprimé tous tes désagréments sur ton disque dur, tu dois activer un firewall. Il existe dans Windows XP et a été amélioré avec la version SP2, mais tu en trouveras aussi dans le commerce (Norton firewall, ZoneAlarm, Kaspersky pour ne citer qu'eux).

Après, je te conseille d'aller sur le site de www.Symantec.fr effectuer un check-up de la Sécurité face aux attaques de ton ordinateur.

Bon courage
Jimre
 

Messagede nickW » 13 Jan 2005, 11:05

Bonjour,

Lire cette page sur les "kits de sécurisation":
http://assiste.com.free.fr/p/internet_e ... curite.php

Il est possible de ne pas dépenser un cent.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Didier » 13 Jan 2005, 11:26

Alors j'ai installé un firewall (ZoneAlarm) après avoir effectué une analyse en ligne de sécurité et l'autre antivirus sur le site de Symantec.

Rien a signaler.

J'ai navigué sur la Manip (ouff, il y en a des choses, c'est ahurissant, et je fais que commencer)

Je voudrai savoir une chose aussi, un Key logger, comment est on sûr qu'il n'y en a pas? (bizarre ma formulation)

Parce qu'il semble qu'il y en a ou en avait un puisque mes mots de passe ont été changés.

Toujours d'après vous est il necessaire que je formate mon disque?

Enfin je suis allé sur le forum où j'ai subit le piratage et lorsque j'affiche un sujet, en invité bien sûr, il affiche 2 invités, et quant je passe sur la liste des utilisateurs connectés aucun utilisateur n'a lut ce sujet sauf 1, que je pense être moi (petite schizophrénie latente, là) ne suis je pas débarrassé après tout ça de ce fichu pirate?
Didier
 

Messagede nickW » 13 Jan 2005, 11:35

Re-Bonjour,

Une analyse "automatique" de ton dernier log par un "robot" se trouve ICI

Refais un log, et s'ils existent encore,

Tu dois corriger (to "fix" en anglais) au moyen d'Hijackthis (cocher la case devant l'élément puis cliquer sur Fix Checked):
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI),
- en mode sans échec (voir ICI).
- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...)
Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet).

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités