Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Ven 29 Mar 2024 - 08:58

Heures au format UTC + 1 heure




Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 27 messages ]  Aller à la page 1, 2  Suivant
Auteur Message
 Sujet du message: Open proxy - Club-Internet
MessagePublié: Mer 5 Sep 2007 - 15:55 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Bonjour à tous!

Bonjour! Je suis honteux de venir demander un coup de main alors que je n'ai pas donné de mes nouvellles ces derniers temps... Ma seule excuse, c'est que je n'ai vraiment pas le niveau pour aider les gens qui demandent de l'aide, et puis il y a eu les vacances!! Mais je vous remercie quand même pour tous les dossiers que j'ai pu lire (et notamment les sujets concernant l'entretien quotidien et les conduites à risque qui m'ont permis d'enrichir mes contenus de formation de quelques conseils très judicieux à l'égard des débutants.

Je tiens à signaler que j'ai d'abord posté une première demande chez Zebulon car votre site me restait désespérément inaccessible ("Internet Explorer n'a pas pu trouver la page demandée"). Comme je peux poster aujourd'hui, j'en profite car votre aide m'a toujours été d'un grand secours (dites-le si j'en fais trop, hein!). J'ai donc supprimé le sujet chez Zebulon (je n'avais pas eu de réponse, donc je pense n'avoir dérangé personne) afin d'éviter les doublons...

Voilà, je sollicite un coup de main car voilà quelques jours que je reçois régulièrement le message suivant:


Citer:
Cher(e) abonné(e),

Suite a differentes plaintes qui nous ont ete adressees, nous avons identifie la presence d'un serveur Open proxy sur votre machine.

Un proxy est une passerelle logicielle qui isole un réseau local en adressant en son nom les requêtes lancées par les postes du réseau global.

Quand un proxy est en mode "Open", cela signifie que tout internaute connecte peut utiliser votre machine comme passerelle afin de lancer des attaques vers d'autres machines du reseau global.

Ce logiciel opere sur votre machine a votre insu, il est tres difficile de le detecter. En effet, aucun anti-virus ne peut l'identifier ni l'eliminer.

Nous vous demandons de prendre toutes les mesures necessaires afin d'eliminer cet Open Proxy de votre machine.
Pour toute aide, nous vous invitons a contacter le support de votre systeme d'exploitation, afin qu'il vous conseille sur la meilleure maniere de resoudre le probleme.

Ce probleme resulte très souvent d'une infection virale sur votre ordinateur, nous vous recommandons de tester l'integrite de votre ordinateur par le biais d'un antivirus en ligne, tel que celui disponible sur http://securite.club-internet.fr

Cordialement,
_______________________________________________________________
Service Abuse Club-Internet
Groupe Neuf Cegetel
11 rue de Cambrai 75927 Paris Cedex 19
http://www.club-internet.fr


J'ai tout essayé (du moins tout ce que je connais...): spybot, ad-aware, ATF Cleaner, CCleaner, scan antivirus (Antivir), antivirus en ligne (Kaspersky)... J'ai bien entendu fait ces manipulations (sauf le scan en ligne, bien sûr) en mode sans échec... Rien n'y fait, je continue à recevoir ce message quotidiennement. Je constate également une activité ADSL même lorsqu'aucun processus n'utilise Internet (voyant "Eth2" de la box correspondant au PC qui clignote...).
Merci d'avance pour le coup de main!

Ah oui, j'ai également oublié de dire que parfois la connexion se coupe sans raison

Et voici le rapport HJT... Personnellement, je n'y vois rien d'anormal. J'ai également vérifié la liste des processus en cours et, apparemment, il n'y a pas d'intrus. Maintenant, comme je l'ai dit plus haut, je ne suis vraiment pas un expert...


Citer:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:45, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
C:\Program Files\Fichiers communs\Logitech\G-series

Software\LGDCore.exe
C:\Program Files\Fichiers communs\Logitech\LCD

Manager\Applets\LCDClock.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client
Foundation\CFD.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TribalWeb.lnk = C:\Program files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8124015125
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1. - https://www.ntrconnect.com/main/mod/set ... 118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4515D9-7AAC-4818-945A-2672DAF39670}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - E:\MayaPLE\docs\wrapper.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6167 bytes



Au risque de rallonger mon post, je vous joins également le rapport du scan Activescan que je viens de réaliser... Il sera peut être utile...


Citer:
Incident Statut Analyse

Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\cglwhccc.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\cglwhccc.dll( 1)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\cglwhccc.dll( 3)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\qkiatmgo.dll
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Bureau\Cookies\bureau@advertising[1].txt
Spyware:Cookie/Adviva No Désinfecté C:\Documents and Settings\Bureau\Cookies\bureau@adviva[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Bureau\Cookies\bureau@bluestreak[2].txt
Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Bureau\Cookies\bureau@smartadserver[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Bureau\Cookies\bureau@xiti[1].txt
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Bureau\Mes documents\SmitfraudFix\Process.exe
Outil indésirable:Application/SuperFast No Désinfecté C:\Documents and Settings\Bureau\Mes documents\SmitfraudFix\restart.exe
Adware:Adware/Yazzle No Désinfecté C:\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe
Spyware:Spyware/Virtumonde No Désinfecté C:\Program Files\Hijackthis Version Française\backups\backup-20070604-175452-171.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\VundoFix Backups\fccbbcd.dll.bad
Spyware:Spyware/Virtumonde No Désinfecté C:\WINDOWS\system32\yfldkpii.dll


Dernière édition par swid le Mer 5 Sep 2007 - 18:09, édité 1 fois au total.

Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 18:08 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
Il y a des trucs que je n'aimerais pas avoir sur mon PC :
TribalWeb.net
DAEMON Tools
BroadJump

Ça non plus d'ailleurs, ce n'est aps méchant mais c'est peut-être la cause de l'alerte.
Internet Settings,ProxyOverride = 127.0.0.1

Inutile sauf si installé par ton FAI :
Motive SmartBridge

Attends toujours l'avis D'AgnesD bien plus compétente que moi dans ce domaine :wink:


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 18:18 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Merci pour ta réponse Guardian! En ce qui concerne TribalWeb et Daemon Tools, pas d'inquiétude, j'ai passé l'âge des téléchargements (et j'ai pas investi dans un home cinema pour regarder des divx...). Tribal me sert principalement pour l'échange de photos de famille, pour mon boulot et pour mon asso... C'est nettement plus pratique que d'envoyer des mails. Pour Daemon Tools, c'est tout simplement parce que les dvd des jeux auxquels je joue le plus ont tendance à s'abimer et je préfère une image disque... Par contre, je ne sais pas ce qu'est Broadjump :?:

Sinon, j'ai effectivement lu ici que lorsqu'un élément R0, R1 ou R2 ne correspondait pas à la page de démarrage, il fallait le supprimer... Mais je n'ose pas fixer quoique ce soit de peur de faire une erreur... et surtout, je voudrais être sûr que le problème soit éliminé.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 21:28 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Bonsoir Tous les deux.
Pas de soucis Swid on était un peu en vacances nous aussi on reprend doucement.
;)
Pour la ligne R1 c'est a enlever sans risques.
pour BroadJump cela semble lié a club internet essaye de le désactiver via MSconfig.
pour le reste..
Si tu peux installer un firewall (autre que celui de windows qui ne filtre que les entrées) cela pourrait bloquer.
Si tu peux temporairement bloquer tribalweb cela permettrai de le disculper
je vois que Guardian a toujours l'oeil.
Swid est sérieux on avait déjà parlé de son usage de tribalweb ici

Sinon passe déjà un scan Catchme
http://www.gmer.net/catchme.php
Et tente un vundofix
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Si on trouve rien on verra autrement.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 22:17 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Bonsoir AgnesD! et merci (encore!) pour ton aide! J'espère pouvoir rendre la pareille un jour...

Alors, dans l'ordre:
- Tribalweb a été arrêté (tant pis pour les jolies photos de vacances... je graverai des CD!)
- Je ne trouve pas Broadjump dans Msconfig (ni dans les services ni au démarrage...)
- j'aimerai ne garder que le firewall de windows pour l'instant car je suis à l'aise avec... et surtout, je ne sais lequel mettre! On m'a parlé de Kerio, mais à chaque fois j'entends tout et son contraire sur les logiciels de sécurité...
- j'ai fait un scan avec Catchme et un vundofix, les logs sont ci-dessous. J'ai remis un log Hjt également.


Catchme d'abord:

Citer:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0



Vundofix ensuite (a priori, il a trouvé quelque chose qu'il a su supprimer):


Citer:
VundoFix V6.5.8

Checking Java version...

Sun Java not detected
Scan started at 23:08:44 05/09/2007

Listing files found while scanning....

C:\windows\system32\yfldkpii.dll

Beginning removal...

Attempting to delete C:\windows\system32\yfldkpii.dll
C:\windows\system32\yfldkpii.dll Has been deleted!

Performing Repairs to the registry.
Done!



Hjt enfin:

Citer:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:38, on 05/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8124015125
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/set ... 118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4515D9-7AAC-4818-945A-2672DAF39670}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - E:\MayaPLE\docs\wrapper.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6211 bytes


Comme vous pouvez le constater j'ai enlevé la ligne R1. La question qui me tracasse, c'est comment j'ai pu avoir cet open proxy (qui est un port ouvert si j'ai bien compris) et comment je peux être sûr de ne plus l'avoir? J'aimerai bien comprendre également pourquoi CI a reçu des plaintes me concernant? Pour du spam envoyé via ma machine?

Sinon, je vous souhaite une bonne nuit à tous et merci encore!


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 22:25 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Juste une petite rectification avant d'aller faire dodo... J'ai pu désactiver Broadjump via msconfig... Il suffisait simplement de regarder à la lettre "C" comme CFD.exe et pas "B"... M'en veuillez pas, la journée a été longue :roll:
Allez, bonne nuit tout le monde!


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 22:36 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
je pense que ce sont des plaintes pour spam.
Pour le reste je ne suis sure de rien.
Vundo a trouvé un reste probablement inactif...
Pour tribal web c'est momentané juste éloigner le risque potentiel.
Vu la nature de ce type de logiciel on ne sais jamais en cas de gros doute comme la je demande a le couper le plus possible.
Pour le parefeu je sais comme ce peut être ch**nt a paramétrer mais pour empêcher qui que ce soit de sortir de ton pc c'est la seule solution.
on verrait aussi les tentatives ou pas de sorties.
Kerio ou d'autres...c'est vrai on entend tout et son contraire..
Jetico par exemple.
http://securite-facile.ovh.org/jetico.php
Zone alarm
http://securite-facile.ovh.org/zonealarm.php

Tente ce test avant de mettre un parefeu et donne nous les résultats ( copié collé)
http://www.richard.zonnet.nl/cgi-bin/nph-proxycheck
celui ci aussi
http://www.zebulon.fr/outils/scanports/ ... curite.php
Pour le reste on vois cela demain.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 23:06 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Bon, ben comme je suis pas encore couché, j'en profite...

Alors voilà le premier test richard.zonnet.nl:

Citer:
Open proxy check
Checking your computer (87.88.13.27) for common open proxies... Please wait until the page is loaded
To check: hosts=1, proto:ports=63, host:proto:ports=63
NumOpen=0(0) NRead=0 Time=0

If 'NumOpen' is larger than 0 you have an open proxy. Please close it down as soon as possible.
If 'NumOpen' is 0 no proxy could be detected, we only test a few of the many possible ports.
Now scanning your computer for common open ports... Please wait until the page is loaded

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-09-05 23:59 CEST
Interesting ports on can59-1-87-88-13-27.dsl.club-internet.fr (87.88.13.27):
(The 1659 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 1.972 seconds

If you see open ports like 135, 137 and 445 your computer is potentially vulnerable. Make sure you have installed the latest updates from http://windowsupdate.microsoft.com
The easiest way to stop the problem is to enable the standard firewall of Windows XP on the network connection or to install separate firewall software. You should always disable Client for Microsoft Networks on your internet network interface, so only TCP/IP remains.


--------------------------------------------------------------------------------
If you see something identifying itself as Netscape Proxy/1.1 this is a trojan, look at http://securityresponse.symantec.com/av ... oxy.b.html for removal instructions
If you see MSP/1.0 your computer is probably infected with another trojan. look at http://securityresponse.symantec.com/av ... zu.htmlfor further information



--------------------------------------------------------------------------------

Look at DSBL.org to see if you are known as an open proxy server.
Look at ORDB.org to perform a test if your SMTP server is an open relay.

Look at Spamcop.net to see if your computer was already used by spammers.

Look at openrbl.org to see if your IP is already on certain blacklist servers.



--------------------------------------------------------------------------------

The proxycheck scanner program is created by Michael Tokarev
This page is maintained by Richard Zuidhof


Maintenant le test de Zebulon:
Image

j'ai préféré faire une capture d'écran des ports ouverts, cela était plus lisible...

Sinon, je pense que je vais suivre tes conseils et mettre un pare-feu autre que celui de Windows... Tout ce que je souhaite, c'est qu'il soit le plus transparent possible (une fois paramétré, bien entendu) et efficace. Je vais profiter de ma journée de demain pour étudier les liens sur Jetico et Zone Alarm.
Merci et bonne nuit (pour de bon cette fois!)


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 23:16 
Hors-ligne
modérateur
modérateur
Avatar de l’utilisateur

Inscrit le: Mer 7 Sep 2005 - 09:53
Messages: 1358
Tu n'as pas un routeur sur ton modem ADSL ?
Si c'est la cas, n'est-il pas équipé d'un FW ?


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 09:18 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
J'ai effectivement un routeur sur mon modem (club-internet box modèle Hitachi). Il doit y avoir un FW vu que j'ai eu à configurer des règles de NAT pour Tribalweb, non?


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 11:58 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Va voir dans les régles de ton routeur ce qui a été mis.
Si les ports telnet/web/ftpet ssh sont configurés ouvert ou si rien n'est visible.
Il semble que ce soient des réglages par défaut de la clubbox....
Ensuite regarde dans windows dans tes services si telnet est actif désactive le.

Télécharge TCPview
http://www.microsoft.com/technet/sysint ... pview.mspx
Ferme toutes les applications inutiles et fait un scan si possible pendant ce "moment"
Citer:
Je constate également une activité ADSL même lorsqu'aucun processus n'utilise Internet (voyant "Eth2" de la box correspondant au PC qui clignote...).
que tu "enregistre sous" et poste nous le résultat.

On pourrais chercher avec des outils plus costaud pour voir si il y a quelque chose mais ainsi a l'aveuglette cela m'ennuie un peu.
Au pire répond au mail de Clubinternet ( pour les faire patienter) que tu est en train de voir comment résoudre le probléme.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 13:53 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Alors, je n'arrive pas à voir quels sont les ports ouverts ou fermés sur mon routeur. Ce doit être accessible uniquement en mode expert ou hotline et je n'ai pas le mot de passe. Je vais chercher un peu voir si je peux pas le trouver quelque part.
Pas de trace de telnet dans les services Windows.

Et voici le log TCPview:

Citer:
[System Process]:0 TCP a64:2282 208.72.168.151:http TIME_WAIT
[System Process]:0 TCP A64:2280 localhost:18350 TIME_WAIT
[System Process]:0 TCP a64:2284 208.72.168.151:http TIME_WAIT
[System Process]:0 TCP A64:2285 localhost:18350 TIME_WAIT
alg.exe:1356 TCP A64:1029 A64:0 LISTENING
avgnt.exe:840 TCP A64:1039 localhost:18350 ESTABLISHED
avguard.exe:1496 TCP A64:18350 localhost:1039 ESTABLISHED
avguard.exe:1496 TCP A64:18350 A64:0 LISTENING
lsass.exe:808 UDP A64:isakmp *:*
lsass.exe:808 UDP A64:4500 *:*
PnkBstrA.exe:1740 UDP A64:44301 *:*
services.exe:796 TCP a64:2278 208.72.168.151:http FIN_WAIT1
svchost.exe:1020 TCP A64:epmap A64:0 LISTENING
svchost.exe:1104 UDP A64:ntp *:*
svchost.exe:1104 UDP a64:ntp *:*
svchost.exe:1172 UDP A64:1027 *:*
svchost.exe:1172 UDP A64:1760 *:*
svchost.exe:1172 UDP A64:1764 *:*
svchost.exe:1172 UDP A64:1757 *:*
svchost.exe:1172 UDP A64:1761 *:*
svchost.exe:1172 UDP A64:1765 *:*
svchost.exe:1172 UDP A64:1758 *:*
svchost.exe:1172 UDP A64:1762 *:*
svchost.exe:1172 UDP A64:1759 *:*
svchost.exe:1172 UDP A64:1763 *:*
svchost.exe:1280 TCP A64:2869 A64:0 LISTENING
svchost.exe:1280 UDP A64:1900 *:*
svchost.exe:1280 UDP a64:1900 *:*
System:4 TCP A64:microsoft-ds A64:0 LISTENING
System:4 TCP a64:netbios-ssn A64:0 LISTENING
System:4 UDP a64:netbios-ns *:*
System:4 UDP a64:netbios-dgm *:*
System:4 UDP A64:microsoft-ds *:*
wcescomm.exe:2156 TCP A64:5679 A64:0 LISTENING
wpCtrl.exe:440 UDP A64:1037 *:*

Si jamais il n'est pas clair, je peux faire une capture d'écran... Il y a des éléments qui se sont affichés en rouge, mais je n'ai pas eu le temps de voir lesquels...
Concernant les coupures de connexion, je pense avoir trouvé la cause: mon installation CPL... Je l'ai modifié, et depuis plus de coupures... je vais surveiller également le voyant de la box pour voir s'il lui arrive encore de clignoter. Et je pense que je vais installer Zone Alarme.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 14:49 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
ça y est, Zone Alarm est installé et à peu près correctement configuré (il y a toujours certains programmes que j'hésite à autoriser...). J'ai également envoyé un mail à CI pour leur signaler que nous cherchions une solution pour nettoyer mon PC.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 20:36 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Ok .
Peux tu faire ce qui suit.

=>Télécharge combofix.exe
sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe puis suis les instructions.
Quand il aura fini, il va générer un rapport.
Poste le dans ta prochaine réponse avec un nouveau log Hijackthis.

Note Ne pas cliquer dans la fenêtre de combofix et ne rien faire d'autre durant le passage de l'outil.
en général cela prend 10 minutes mais cela peut être plus long selon le niveau d'infection.

Merci.
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Ven 7 Sep 2007 - 07:24 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Alors voilà le log Combofix :

Citer:
ComboFix 07-08-30.3 - "Bureau" 2007-09-07 8:20:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1614 [GMT 2:00]

Rootkit driver xpdt is present. ... attempting disinfection
xpdt ...... driver unloaded successfully.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\xpdt.sys
C:\WINDOWS\wr.txt


((((((((((((((((((((((((( Files Created from 2007-08-07 to 2007-09-07 )))))))))))))))))))))))))))))))


2007-09-07 08:17 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-06 15:35 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-09-06 15:35 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
2007-09-06 15:33 <REP> d-------- C:\WINDOWS\Internet Logs
2007-09-04 17:41 <REP> d-------- C:\Program Files\Trend Micro
2007-09-03 18:51 <REP> d-------- C:\Program Files\CCleaner
2007-09-02 17:18 3,428 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-22 13:01 10,290 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2007-08-22 10:34 <REP> d-------- C:\Program Files\Realtek AC97
2007-08-22 10:33 454,656 --a------ C:\WINDOWS\system32\CapabilityTable.exe
2007-08-22 10:32 9,728 -ra------ C:\WINDOWS\system32\bdco1.dll
2007-08-22 10:32 33,536 -ra------ C:\WINDOWS\system32\drivers\NVENETFD.sys
2007-08-22 10:32 32,256 -ra------ C:\WINDOWS\system32\nvconrm.dll
2007-08-22 10:32 261,888 -ra------ C:\WINDOWS\system32\drivers\nvnrm.sys
2007-08-22 10:32 208,256 -ra------ C:\WINDOWS\system32\drivers\nvsnpu.sys
2007-08-22 10:32 201,728 -ra------ C:\WINDOWS\system32\fdco1.dll
2007-08-22 10:32 176,128 -ra------ C:\WINDOWS\system32\nvusmb.exe
2007-08-22 10:32 176,128 --a------ C:\WINDOWS\system32\nvunrm.exe
2007-08-22 10:32 12,928 -ra------ C:\WINDOWS\system32\drivers\nvnetbus.sys
2007-08-22 10:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
2007-08-22 10:22 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-08-22 10:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-08-22 10:22 <REP> d-------- C:\WINDOWS\nview
2007-08-08 09:17 94,208 --a------ C:\WINDOWS\system32\DNIN50.dll
2007-08-08 09:17 843,776 -ra------ C:\WINDOWS\system32\AegisE5.dll
2007-08-08 09:17 20,480 --a--c--- C:\WINDOWS\system32\dllcache\usbuhci.sys
2007-08-08 09:17 20,480 --------- C:\WINDOWS\system32\drivers\usbuhci.sys
2007-08-08 09:17 17,149 --a------ C:\WINDOWS\system32\DNINDIS5.sys
2007-08-08 09:17 15,890 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys
2007-08-08 09:17 110,592 -ra------ C:\WINDOWS\system32\AegisI5.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-09-06 20:25 5684 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-06 20:25 215072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-06 17:17 --------- d-------- C:\DOCUME~1\Bureau\APPLIC~1\TribalWeb
2007-09-06 17:06 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-09-06 17:06 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-09-06 16:30 66872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-09-06 15:34 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-06 15:34 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-04 18:39 --------- d-------- C:\Program Files\Microsoft ActiveSync
2007-09-03 18:53 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-22 16:42 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-22 16:41 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-22 16:40 --------- d-------- C:\Program Files\Microsoft GIF Animator
2007-08-22 16:39 --------- d-------- C:\Program Files\LcdStudio
2007-08-22 16:39 --------- d-------- C:\Program Files\Hitman Pro
2007-08-22 10:26 62009 --a------ C:\WINDOWS\system32\wpfb_nv4_disp.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-27 15:35 --------- d-------- C:\Program Files\TribalWeb.net
2007-07-24 17:29 --------- d-------- C:\DOCUME~1\Bureau\APPLIC~1\Microsoft Games
2007-07-24 17:29 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Games
2007-07-16 15:42 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-07-16 15:42 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-07-16 15:41 --------- d-------- C:\Program Files\Fichiers communs\Logitech
2007-07-16 15:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
2007-07-13 11:24 --------- d-------- C:\Program Files\Maxis
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-21 21:55 54672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-06-21 21:55 42384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-06-21 21:55 21904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-06-21 21:55 17808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-06-21 21:54 75248 --a------ C:\WINDOWS\zllsputility.exe
2007-06-21 21:54 1086952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-07-12 09:55 C:\WINDOWS\soundman.exe]
"PivotSoftware"="C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe" [2005-10-21 11:07]
"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10]
"Motive SmartBridge"="C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe" [2005-08-24 07:51]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 04:50]
"Launch LCDMon"="C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe" [2006-11-09 13:45]
"Launch LGDCore"="C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" [2006-11-09 14:10]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-16 20:10]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 15:18]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BJCFD]
C:\Program Files\BroadJump\Client Foundation\CFD.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

R1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys
R1 Machnm32;Machnm32 Driver;\??\C:\WINDOWS\system32\Machnm32.sys
R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys
S1 KS0108;KS0108;\??\C:\Program Files\LcdStudio\ks0108.sys
S1 LC7981;LC7981;\??\C:\Program Files\LcdStudio\LC7981.sys
S1 n3900;n3900;\??\C:\Program Files\LcdStudio\n3900.sys
S1 SED133x;SED133x;\??\C:\Program Files\LcdStudio\SED133x.sys
S1 T6963C;T6963C;\??\C:\Program Files\LcdStudio\T6963c.sys
S2 mple7docserver;Maya 7 PLE Documentation Server;E:\MayaPLE\docs\wrapper.exe -s E:\MayaPLE\docs\Wrapper.conf
S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
S3 ATHFMWDL;NETGEAR WG111T bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\DNINDIS5.SYS
S3 pivotmou;Pivot Mouse/Pointers Filter Driver;\??\C:\WINDOWS\system32\drivers\pivotmou.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b542b9a-b218-11db-ac63-0015f24ff202}]
AutoRun\command- L:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d13b168d-2733-11db-b18f-806d6172696f}]
AutoRun\command- J:\ASUSACPI.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6fde9d4-a865-11db-ac5a-0015f24ff202}]
AutoRun\command- M:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-08-31 15:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-07 08:24:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-07 8:25:34
C:\ComboFix-quarantined-files.txt ... 2007-09-07 08:25

--- E O F ---


Et le log HJT :

Citer:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:32:25, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8124015125
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/set ... 118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4515D9-7AAC-4818-945A-2672DAF39670}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - E:\MayaPLE\docs\wrapper.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6334 bytes
[/b]

Je te signale juste que Combofix a fait redémarrer le PC après avoir détecté un rootkit. Après le redémarrage, il a signalé ne plus trouver le fichier en question. Tout ceci c'est fait sans aucune intervention de ma part, je n'ai touché à rien comme tu me l'avais demandé, bien entendu... Sinon, une bonne nouvelle: je n'ai pas reçu de nouveaux mails du service abuse de CI depuis le 5/09 à 21h... Bon, j'en recevrais peut être un dans la journée, mais je dois avouer que pour l'instant, ça me rassure... Zone Alarm est vraiment bien plus efficace que le FW de Windows (bon, je m'en doutais un peu, mais quand même...)


Haut
 Profil  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 27 messages ]  Aller à la page 1, 2  Suivant

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr