Trojan Tosoo & Fantibag A

AgnesD · **Publié:** Mer 21 Sep 2005 - 13:09

Excuse nous

on reprend doucement

Mode sans echec

Au démarrage tapotez la Touche F8 avant l'apparition du logo de windows. Puis sélectionnez a l'aide des touches haut bas "mode sans echec" et tapez "enter"

Ou

Mode diagnostic

Si l'ordi est déja allumé on peut aussi passer par "démarrer" -> "executer" taper "msconfig" puis ok on se trouve dans l'utilitaire de configuration systéme . Il est alors possible de choisir "démarage en mode diagnostic" puis "ok" enfin acceptez le redémarrage de l'ordi.(N'oubliez pas ensuite de relancer msconfig et de sélectionner "démarrage normal").

Si tu peux... faire hijackthis

Tu dois encore avoir Ewido d'installé depuis la derniére fois :wink:

...peut être pourrais tu faire un scan avec...

Pour Norton il est desinstallé mais trés mal .c'est assez courant donc il est bon de finir cela proprement pour pas prendre plus de risques. regarde ce lien là. Ensuite on te dira.

:186:

Richard · **Publié:** Mer 21 Sep 2005 - 13:18

1- Scan Stinger : je ne vois pas de résultat. Il indique un nombre de fichiers, c'est tout ???

2- Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 14:12:14, on 21.09.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B755CD9-BCC1-430A-9962-66EB87498824}: NameServer = 212.151.136.242,130.244.127.170

AgnesD · **Publié:** Mer 21 Sep 2005 - 13:22

désolée richard ...

Hitjack this je voulais mais ne le fait pas en mode sans echec :wink:

Pour stinger il scanne et nettoye certains virus si il n'y a rien c'est bon.

Richard · **Publié:** Mer 21 Sep 2005 - 14:03

Oui, j'ai retrouvé le mode diagnostic par msconfig.

J'ai fait la capture d'écran demandée plus haut, enregistrée sous Paint (ne tient pas sur une disquette) transfert sur clé Usb mais quand j'arrive dans le lien indiqué pour l'envoyer je ne comprends rien. Tout en anglais. Pas la peine d'insister, sauf à m'expliquer en détail.

Donc :

Je vais te refaire un Hijackthis en mode normal, un Ewido (plus à jour, période d'essai terminée) et je m'en remettrai ensuite à tes dernières instructions.

Merci.

AgnesD · **Publié:** Mer 21 Sep 2005 - 14:07

regarde là pour poster des images

super si tu a une clef usb c'est bien pratique :wink:

Richard · **Publié:** Mer 21 Sep 2005 - 14:10

J'ai déjà fait tourner Ewido ce matin avant de te contacter. Il n'y avait rien. Là je l'ai relancé. En attendant voilà Hijackthis en mode normal :

Logfile of HijackThis v1.99.1

Scan saved at 15:04:35, on 21.09.2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\SMSC\Seticon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe

O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6B755CD9-BCC1-430A-9962-66EB87498824}: NameServer = 212.151.136.242,130.244.127.170

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Richard · **Publié:** Mer 21 Sep 2005 - 14:25

L'envoi de la capture d'écran : trop compliqué entre l'inscription au site d'hébergement, la confirmation par mail arrivant sur le mauvais Pc etc. Pourquoi ne pas écrire tout simplement ce qu'elle contient ?

La fenêtre dit :

Ati Hotkey Poller------------------inconnu--------------------Arrêté

Ati Smart----------------------------inconnu-------------------Arrêté

Symantec Network Proxy-------inconnu--------------------Arrêté

ewido security suite control----ewido networks----------Arrêté

SymWmi service------------------Symantec corporation---Arrêté

Richard · **Publié:** Mer 21 Sep 2005 - 14:45

Toujours rien sur Ewido.

AgnesD · **Publié:** Mer 21 Sep 2005 - 15:14

Bon a premiére vue je dirais ceux là

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

O4 - HKLM\..\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe

O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe

ils correspondent a

Tosoo

et Fantibag A

Bon la procedure de desinfection est la même que d'habitude tu coches et fixe tes lignes (en mode sans echec, deconnecte du web, restauration desactivée...) ensuite tu te rends dans les dossiers suivants et tu détruis les fichiers en rouge (pas les dossier ! )

C:\WINDOWS\System32\winshost.exe

C:\WINDOWS\firewall_anti.exe

Quand tu a fini tu active dessuite le pare feu de windows avant de te reconnecter.

Si tu peux nettoyer ton norton pour le réinstaller lui ou antivir ce serait encore mieux.

Car sans protection tu sera vite réinfecté...

(l'ordi pas toi

)

voila de quoi t'occuper un petit moment....

A+

courage ...

Ps il ne faut jamais ouvrir les emails qui te paraissent étranges et encore moins toucher aux piéces jointes qui vont avec.... :wink:

Richard · **Publié:** Mer 21 Sep 2005 - 15:24

D'ac. Merci. Tout bien compris sauf une chose : activer le pare-feu de Windows. Comment fait-on ?

Pour la pièce jointe je sais bien... Mais ça se présentait d'une manière tellement singulière, et même familière, que la curiosité l'a emporté sur la réflexion. Je me botte le train, c'est sûr !

En revanche pour désinstaller correctement Norton j'ai commencé à voir les explications... Il y a beaucoup de renvois de liens en liens, si vous n'arrivez pas à faire ci faites ça, sinon voyez ce lien etc. J'ai l'impression que ça va être long.

Je te dirai.

Richard · **Publié:** Mer 21 Sep 2005 - 15:54

Attends, il y a un os, là.

Tu me dis de cocher quatre éléments sur Hijack en mode sans échec mais quand je lance Hijack dans ce mode-là il n'y a plus qu'un des quatre (le 03). Les trois autres (les 04) n'y sont pas. Si je veux les trouver pour les cocher il faut faire tourner Hijack en mode normal.

Alors comment je fais ? [center]:shock:[/center]

AgnesD · **Publié:** Mer 21 Sep 2005 - 16:43

Tu fais tourner en mode normal. :wink:

Richard · **Publié:** Mer 21 Sep 2005 - 17:04

Bien. Sauf erreur j'ai nettoyé Norton avec Clean... y compris la suppression dans le dossier Windows-Temp.

Je vais terminer de fixer dans Hijack en mode normal comme tu viens de me dire mais je ne sais toujours pas comment activer tout de suite après le pare-feu Windows...

AgnesD · **Publié:** Mer 21 Sep 2005 - 17:09

Excuse j'avais oublié :lol:

regarde la

http://www.inoculer.com/parefeuwindowsxp.php3

Richard · **Publié:** Mer 21 Sep 2005 - 17:21

Après les fixe de Hijack et les deux suppressions dans Windows il semble que le Pc soit normal au démarrage (plus de lenteur et réapparition de Asus Probe 2 dans la barre des tâches.

Il ne reste plus qu'à réinstaller Norton.

Si j'active le pare-feu Windows est-ce que je pourrai directement te contacter avec mon Pc dès ce moment là (sans avoir encore installé Norton) ?

Forum XP.Net -Sécurité Informatique-

Trojan Tosoo & Fantibag A

Qui est en ligne ?