[OK] Trojan Win32 Dialer hc

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Trojan Win32 Dialer hc

Messagede LE BACHELOR » 05 Nov 2005, 11:29

Bonjour,

Je viens de faire un scan avec Pespatrol et me voilà avec un ver : Trojan Win32 Dialer hc.
Pespatrol le supprime bien dans la BDR HKEY CURRENT USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz.
Mais au redémarrage de l'ordinateur, un nouveau scan avec Pespatrol et la bestiole est toujours là !

Voici mon log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 11:11:00, on 05/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\Program Files\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\Program Files\Network Associates\VirusScan\Webscanx.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\ProcessGuard\pgaccount.exe
C:\Program Files\SpyBlocker Software\spyblocker.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ProcessGuard\procguard.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Network Associates\PGPNT\PGPtray.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\PROGRA~1\PESTPA~1\pestpatrol.exe
D:\Applications logiciels\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: PGPtray.lnk = C:\Program Files\Network Associates\PGPNT\PGPtray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci pour l'aide que vous pourrez m'apporter.

@+
Windows XP HOME SP1
Avatar de l’utilisateur
LE BACHELOR
 
Messages: 255
Inscription: 04 Mar 2005, 11:11

Messagede adriatic » 05 Nov 2005, 11:54

bonjour,
même détection pour moi hier aprés mise à jour de PP5, aprés une mise en quarantaine le probléme n'est pas réapparu; ça ressemble fortement à un faux positif tout ça.
On va voir ce que NickW va trouver dans le rapport HJ (rien j'espere :) )
@+
<a href="http://assiste.forum.free.fr/viewtopic.php?p=62925#62925"> config</a>
Avatar de l’utilisateur
adriatic
 
Messages: 397
Inscription: 12 Aoû 2005, 21:44
Localisation: Auvergne

Messagede CtrlcCtrlv » 06 Nov 2005, 21:12

Bonsoir,

Adriatic utilise Spybot S&D, est-ce le cas pour Le Bachelor ?
Parceque j'ai également cette alerte avec PP version 4.
Quand je vire la clef et sous clef dans la base de registre, PP se calme.
Je demande à Spybot de vacciner, une nouveau scan de PP et il hurle.
Je ne voudrais pas m'avancer mais il y aurait peut-être une relation de cause à effet.

Pour le log, je ne peux rien dire...

@ +
CtrlcCtrlv
 
Messages: 62
Inscription: 18 Aoû 2005, 15:08

Messagede nickW » 06 Nov 2005, 23:35

Bonsoir,

Rien de particulier dans ce log.

Que contiennent exactement la clé et la sous-clé (valeur du DWORD):
HKEY CURRENT USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede adriatic » 06 Nov 2005, 23:49

bonsoir,
pour mon cas il semble que la détection de PP n'ait pas de lien avec la vaccination de spybot je cherche toujours.
bonne nuit.
<a href="http://assiste.forum.free.fr/viewtopic.php?p=62925#62925"> config</a>
Avatar de l’utilisateur
adriatic
 
Messages: 397
Inscription: 12 Aoû 2005, 21:44
Localisation: Auvergne

Messagede LE BACHELOR » 07 Nov 2005, 11:03

Bonjour,

Merci nickW pour l'analyse du log.

Données de la valeur DWORD : 4 base hexadécimale.

J'utilise également Spybot S&D et les symptômes signalés par CtrlcCtrlv sont identiques :
vaccination avec Spybot S&D, puis scan avec Pespatrol et réapparition du Trojan.
C'est grave docteur ?

@+
Windows XP HOME SP1
Avatar de l’utilisateur
LE BACHELOR
 
Messages: 255
Inscription: 04 Mar 2005, 11:11

Messagede nickW » 07 Nov 2005, 11:19

Bonjour,

Un "DWORD" ayant la valeur 4 indique que ce site fait partie des "Sites sensibles" de IE!

Au contraire, si le "DWORD" avait eu la valeur 2, le site aurait été classé parmi les "Sites de confiance".

Donc, faux positif de PP (qui ne vérifie pas la valeur du DWORD :shock: ).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 07 Nov 2005, 11:24

Bonjour nickW,

Merci pour ta réponse et bonne journée.

@+
Invité
 

Messagede LE BACHELOR » 07 Nov 2005, 11:27

(Re) bonjour,

J'ai oublié de me connecter.
Merci encore.

@+
Windows XP HOME SP1
Avatar de l’utilisateur
LE BACHELOR
 
Messages: 255
Inscription: 04 Mar 2005, 11:11

Messagede adriatic » 07 Nov 2005, 11:28

bonjour,
autant pour moi la détection est bien liée à la vaccination de spybot chez moi.
:oops:
je suis vraiment pas doué :Mouaaarrrrffffffff:
@+
<a href="http://assiste.forum.free.fr/viewtopic.php?p=62925#62925"> config</a>
Avatar de l’utilisateur
adriatic
 
Messages: 397
Inscription: 12 Aoû 2005, 21:44
Localisation: Auvergne


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 20 invités

cron