probleme spybot et demande de verification hijackThis

Modérateur: Modérateurs et Modératrices

Messagede bay » 19 Juin 2004, 15:18

Bonjour , c'est confirmé par Jim Rakoto !
Dans ce cas , il faut fixer également
C:\windows\system32\sncntr.exe
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Jim Rakoto » 19 Juin 2004, 15:23

Salut Bay,

Info trouvée sur un autre site que celui de Pestpatrol.

J'ai eu même idée que toi pour IE, manque le N° de version .
Panneau configuration > Lancer Windowsupdate

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bay » 19 Juin 2004, 16:04

Bonjour , pour moi également douteux
C:\WINDOWS\mkRV.exe


Et à vérifier car pas nécessaire deux fois
C:\WINDOWS\system32\Ati2evxx.exe
( ATI video cards ,? )
et verifier l'utilité de
C:\Program Files\RamBoost XP\rambxpfr.exe
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Vazkor » 19 Juin 2004, 16:37

Bonjour,

J'ai repris les autres interrogations de Pierre qui n'ont pas toutes été traitées, en ajoutant mes commentaires (notés JCM).

Bonjour,

Très vite, à contrôler par d'autres car je dois partir en Week-end.

R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
Probable keylogger - pas le temps de vérifier

O2 - BHO: (no name) - {CD97C0B6-77D1-4FD3-B94C-D4F5E57878AA} - C:\WINDOWS\gw14NU99.dll
Ca sent le nom de fichier généré à la volée. Même avis (JCM)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
Ces 3 là, c'est du HP. Mais il existe un pb chez HP avec un keylogger planqué dans un gestionnaire de clavier. A vérifier.

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
C'est quoi, ça.
Retrouver le fichier: Nom du dossier, ses propriétés, voir s'il y a des fichiers textes lisibles (*.txt, *.hlp, etc) (JCM

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
? Idem (JCM)

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
Ca, c'est le backdoor à HP


O4 - HKLM\..\Run: [j1V35D] C:\WINDOWS\mkRV.exe
? Voir les propriétés de l'exe (JCM)

O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
? Déjà identifié comme Backdoor (JCM)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Voir post ci-dessous

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Constitue une faille de sécurité.
Inutile, parce qu'un dump n'est utile qu'à la Maffia Kro$oft! A virer (JCM)

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
? Voir les propriétés de la dll (description, éditeur) (JCM)

O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
? Voir dans le dossier Steam (date de création?): Propriétés de l'exe? fichiers texte? (*.txt, *.hlp, etc.) (JCM)

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
Niac niac niac ! Joli backdoor de HP

O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\SuperGOO\EREG\FR\REMIND32.EXE
? Pas le temps de chercher ce que c'est - à vérifier
ScanSoft est l'éditeur de l'OCR TextBridge. Il s'agit d'un rappel d'enregistrement pour un programme installé Est-ce bien utile de le laisser dans le StartUp? (JCM)

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab
? Dangereux, les jeux online
UbiSoft est firme connue, mais ... (JCM)

O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab
Je suis très circonspect avec ce truc - pas encore analysé à fond mais...

Tiens, je ne vois pas tes DNS

Les DNS devraient apparaître dans une rubrique O17: Ce sont les adresses IP des serveurs de noms de domaine qu'utilise ton PC. En principe, ceux de ton FAI (Fournisseur d'Accès Internet). (JCM)

Je trouve que de toute façon, il y a bien trop de trucs lancés au démarrage. Moins il y aura de monde au balcon, mieux XP se portera.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede caraboss » 19 Juin 2004, 16:47

Encore merci

j ai fixer O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm il ne revient plus pas de probleme.
C est moi qui est efface MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) (un peu parano) j ai la dernière mise a jour pour IE.

pour:C:\WINDOWS\mkRV.exe pouvez vous me renseigner?

Je suppose que mon log est typique d'un neophyte et je vous remercie encore de vous proccupez de mon cas.

caraboss
caraboss
 
Messages: 6
Inscription: 19 Juin 2004, 11:13

Messagede bay » 19 Juin 2004, 17:26

caraboss a écrit:Encore merci

j ai fixer O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm il ne revient plus pas de probleme.
C est moi qui est efface MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) (un peu parano) j ai la dernière mise a jour pour IE.

pour:C:\WINDOWS\mkRV.exe pouvez vous me renseigner?

Je suppose que mon log est typique d'un neophyte et je vous remercie encore de vous proccupez de mon cas.

caraboss
Bonsoir, je n'ai aucun renseignements pour mkRV.exe , donc suspect pour moi , faire un clic droit et propriétés , pour plus de renseignements !
Pour plus de sécurité refaire peut être un scan avec Hijackthis et afficher le rapport !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Vazkor » 19 Juin 2004, 19:56

Bonsoir,

Si tu trouves n'importe quel programme, perdu dans un dossier Windows, qui ne soit pas d'origine Microsoft, introuvable sur Google et dont les propriétés ne disent rien sur l'éditeur, etc.; il est plus que suce-pets.

De toute façon, si c'est pas un produit Kroco$oft, il n'est pas vraiment indispensable au fonctionnement du système.
Alors... pas de pitié pour les croissants!

En cas de doute, supprimer les clés de lancement et renommer le fichier en .exe_, par exemple. Des fois qu'un programme légitime gueulerait à cause de son absence, il vaut mieux le laisser en place temporairement, en sorte de quarantaine, plutôt que de le déplacer et après l'effacer par erreur ou ne plus savoir le retrouver facilement pour le remettre en place.

Je te l'ai déjà dit. Il y a beaucoup trop de monde au balcon. Ton Windows respirera mieux s'il y a moins de processus lancés inutilement au démarrage.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede caraboss » 20 Juin 2004, 21:58

bonsoir

j ai donc fait un petit nettoyage qui a fait beaucoup de bien a mon pc qui demarre plus vite.

je vous renvoie mon log hijackthis car certain processus reviennent a chaque demarrage je les marque en gras

Logfile of HijackThis v1.97.7
Scan saved at 22:35:37, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
c:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\program files\steam\steam.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CD97C0B6-77D1-4FD3-B94C-D4F5E57878AA} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} -
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

si quelqu'un pourrait m expliquer comment les retirer definitivement je n'y arrive pas

Merci d avance

Caraboss
caraboss
 
Messages: 6
Inscription: 19 Juin 2004, 11:13

Messagede bay » 21 Juin 2004, 07:47

Bonjour , un complément d'information au sujet de certains BHO
O16 - DPF: {8EC69950-F299-40AC-A004-3BF5176F8F7B} (FlowScan Control) - http://www.checkspy.com/fr/FlowScan.cab


O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab


O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/Z4/heartbeat.cab
sans doute liée à O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Invité » 22 Juin 2004, 12:27

Bonjour

merci du complément d'informations mais j'ai beau essayer de les enlever via le bho avec spybot , les fixer avec hijackthis,j'enleve le point de restauration, je ne masque pas les dossiers cachés et a chaque redémarrage ils réapparaissent.

De plus spybot me trouve à chaque fois plusieurs problèmes qu'il répare après un redémarrage du système (lorsque je clique sur vérifier tout)
qui eux aussi reviennent tout le temps.

Je ne sait plus quoi faire!

Mon log de hijackthis reste toujours identique au dernier que j ai envoyé.

Cordialement
Caraboss
Invité
 

PrécédenteSuivante

Retourner vers Windows (toutes versions) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités

cron