hijack this log aider moi a trouver ce qui cloche...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

hijack this log aider moi a trouver ce qui cloche...

Messagede topo » 17 Mai 2004, 16:33

salut a tous
apres avoir eu une infection par coolwebsearch et sa presence recurente je suis aller sus le site assiste pour trouver des astuces
jai telecharger smartkiller et cwshreder .. desactiver la vm java et installer la java de sun ....
mais ca n a pas suffit voila jai fait un hijack this et supprimer donc les cle de registre en rapport avec searchpage et coolweb ...
voila ce qui reste maintenant :


Logfile of HijackThis v1.97.7
Scan saved at 17:31:32, on 17/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Opera7\opera.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "gernot"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "gernot"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .exe: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O12 - Plugin for .rar: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: C:\Program Files\Opera7\PLUGINS\NPFgc1.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR21.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

---- deaFR21.exe jai cherche sur le net mais y a rien....


---- RdxIE2.cab et



merci de votre aide......
bye
topo
 
Messages: 4
Inscription: 17 Mai 2004, 16:27

Messagede Kethryes » 17 Mai 2004, 17:07

Je ne sais pas ce que c'est que ce flashget mais a mon avis c'est louche (a moins que ce soit toi qui l'aies installé)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

Un tas d'activeX plutôt inutiles (dire active X et inutile dans la même phrase est un pléonasme) :b
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://66.117.42.151/1/deaFR21.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede topo » 17 Mai 2004, 17:10

non t inquiete pas pour flashget cest un logiciel pour telecharger gros fichier sur le net...
pour les autres activeX je fais quoi je les supprime ?
topo
 
Messages: 4
Inscription: 17 Mai 2004, 16:27

Messagede Vazkor » 17 Mai 2004, 17:23

Bonjour,

Les activeX moins il y en a, mieux c'est. Donc tu les vires.

Au lieu de FlashGet, je te conseille LeechGet, qui lui est tout à fait sain: http://www.leechget.net/fr/

Même le Maître l'utilise, donc on ne peut que se rallier à son avis.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Jim Rakoto » 17 Mai 2004, 17:34

Salut,

Deux ou trois réflexions

ceci : O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/197327f80eb305cb83 ... RdxIE2.cab
c'est une adresse Real en douce
Sans doute realplayer donc tu fais bien de supprimer

Tu devrais privilégier navigation par Opera qui est autrement plus sécurisé que IE et garder celui-ci juste celui-ci pour Windowsupdate.

Il n'y a pas de pare-feu installé ce qui est une erreur rédhibitoire

Penser à installer spybot version 1.3 définitive qui devrait encore nettoyer des trucs
http://www.majorgeeks.com/download2471.html

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede topo » 17 Mai 2004, 17:43

j'ai un routeur avec firewall donc c'est simple et plus léger...
j'ai tout viré pour les activeX
flashget c'est sain et c'est le menu contextuel bouton droit souris c'est normal....
et je tourne sous opera depuis un an...
mais j'utilise ie pour certains sites car opera des fois plante...

[Edité par JCM pour rendre ton message lisible. Pense à relire avant d'envoyer ;o) ]
topo
 
Messages: 4
Inscription: 17 Mai 2004, 16:27

Messagede Vazkor » 17 Mai 2004, 18:34

Bonjour,

A la place d'Opera qui est très bien, il y a aussi Mozilla, nettement mieux que IE!
Rien que de taper ces deux lettres me donne un haut le coeur!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Jim Rakoto » 17 Mai 2004, 19:01

Salut,

Le pare-feu matériel est évidemment intéressant et utile.
Il protège bien contre une série d'attaques (DDos par ex.) par contre il ne peut gérer les connexions des applications sauf à connaitre tous les ports utilisés (65.000) et créer des règles .
Cela seul un pare-feu logiciel peut le permettre.
Il y a par exemple des services Windows qui n'ont pas à se connecter.
Ou pour Sasser, avec Outpost j'ai créé une règle stipulant que avserve.exe est bloqué et que le protocole TCP est bloqué en entrée si port distant 5554

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 17 Mai 2004, 19:34

Salut,

Un routeur ou un pare-feu matériel est quand même une sécurité formidable.
Notre routeur LinkSys ne me transmet que les réponses aux requêtes qu'il a envoyées. Tout le reste se casse la gueule sur un mur!

Mon PC est donc invisible depuis Internet. Mon pare-feu ne me sert qu'à voir ce qui veut sortir, parce que rien ne rentre en principe.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede topo » 18 Mai 2004, 17:09

ok merci de votre aide
mais coolwebsearch est revenu ... de temps en temps
jai tout essaye
-- redemarre en mode sans echec et utiliser smartkiller ensuite cwshredder

--- hijack this

--- installer java sun et desisntaller vm java de microsoft

--- utiliser adware et spybot...

---desactiver les activeX non signe etc...

--- decocher dans les propriete de Ie accepter navigation Iframe ....

et aujourdhui hop de retour avec page de demarrage about blank avec pop up qui dit qu un spyware a infecte mon ordinateur etc.......
j envoie adware et hop coolwebsearch est la......
jai donc desinstaller IE6 et je vais le reinstaller ......

une idee pour m en debarasser definitivement ?
topo
 
Messages: 4
Inscription: 17 Mai 2004, 16:27

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 20 invités