Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 09:35

Heures au format UTC + 1 heure




Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 27 messages ]  Aller à la page Précédent  1, 2
Auteur Message
 Sujet du message:
MessagePublié: Ven 7 Sep 2007 - 11:25 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Merci.
:wink:
je regarde cela ce soir et je te donne la marche a suite.
Il y a pas mal de lecture mais on moins le coupable a été identifié.
:P

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Ven 7 Sep 2007 - 13:19 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
C'est moi qui te remercie! Ne te couche pas trop tard ce soir à cause de moi... :oops:


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Ven 7 Sep 2007 - 18:47 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Bonsoir Swid
T'inquiète pas pour ma nuit j'ai fini.
;)
Combofix a fait le travail, il est trés puissant dans ce genre de cas, mais a ne surtout pas utiliser à la légére. Il est assez costaud pour permettre de sacrés dégâts en cas d'erreur...
:lol:
Par acquis de conscience on va faire ceci s'assurer que c'est ok.
=>Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


Pour les parefeu...
Celui de windows XP empéche uniquement les entrées.
Malheureusement si le fruit est dans la pomme il n'empêchera en aucun cas les sorties.
;)

Ton PC envoyais probablement du spam à tout vas.
Les FAI deviennent de plus en plus pointilleux la dessus.
j'ai vu des lettres d'Orange ayant la même teneur avec menace claire de coupure en cas de "non prise en compte du probléme"...
:wink:
J'attend donc ton rapport SDFix
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Sam 8 Sep 2007 - 10:42 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Et voilà le log SDFix:


Citer:
SDFix: Version 1.102

Run by Bureau on 08/09/2007 at 11:35

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll
C:\Program Files\NTR Global\NTRconnect\0.dll
C:\Program Files\NTR Global\NTRconnect\1.dll
C:\Program Files\NTR Global\NTRconnect\2.dll
C:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe
C:\Program Files\Picasa2\setup.exe
C:\WINDOWS\system32\lyxbgkoo.tmp

Finished


et le log HJT:

Citer:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:14, on 08/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8124015125
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/set ... 118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4515D9-7AAC-4818-945A-2672DAF39670}: NameServer = 194.117.200.10,194.117.200.15
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - E:\MayaPLE\docs\wrapper.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6335 bytes


Sinon, je n'ai toujours pas reçu de nouveau message du service Abuse de CI. Par contre, un ennui n'arrivant jamais seul, je viens de constater qu'is bon, on verra ça plus tard, ça reviendra peut être tout seul...


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Sam 8 Sep 2007 - 17:18 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Pour moi c'est OK.
à part le fichier en gras que je supprimerai.
C:\WINDOWS\system32\lyxbgkoo.tmp
Citer:
Par contre, un ennui n'arrivant jamais seul, je viens de constater qu'is bon, on verra ça plus tard, ça reviendra peut être tout seul...

Peux tu développer j'ai pas compris.
:lol:
Pour le reste tu peux passer à la remise en ordre.
http://forumxp.net.free.fr/phpBB2/voir_ ... .php?id=35
Supprime sdfix et combofix regarde leurs traces (dossiers ou fichiers)dans C:\
A+

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Dim 9 Sep 2007 - 09:01 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Merci! Bon, je supprime le fichier et les outils alors!
Sinon, ce que je disais dans mon message précédent, c'est qu'Antivir ne veut pas se mettre à jour, mais je vais retenter un update avant de penser tout de suite au pire...


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 9 Sep 2007 - 09:05 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Bon, et bien Antivir a fini par se mettre à jour, donc pas de soucis... Par contre je ne trouve pas le fichier C:\WINDOWS\system32\lyxbgkoo.tmp :?:


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 9 Sep 2007 - 09:19 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Bonjour Swid.
:)
Pour l'antivirus,
vérifie qu'il est autorisé a passer le firewall
sinon tente la mise a jour firewall désactivé pour voir.
Tout en sachant que les mises a jours d'antivir peuvent être longues.

Pour le fichier a tu affiché les fichiers cachés et protégés du systéme ?
Si oui refait un scan avec sdfix, voir si il le trouve toujours ou si le fichier a été supprimé (.tmp)

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Dim 9 Sep 2007 - 12:10 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Pour l'antivirus, pas de souci, il ets à jour...
Par conter, toujours aucune trace de lyxbgkoo.tmp , même avec SDFix... Comme j'ai passé un coup d'ATFCleaner après avoir supprimé les différents outils, serait-il possible qu'il se soit chargé de le supprimer?


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Dim 9 Sep 2007 - 13:16 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Fort probable.
pas de parano non plus ce doit être OK.

;)
Si les alertes de ClubInternet on stoppé ce doit être ok.
Passe à "remise en ordre".
C'est ok.
:P

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 10 Sep 2007 - 13:20 
Hors-ligne
Dégourdi
Dégourdi

Inscrit le: Sam 2 Juin 2007 - 15:48
Messages: 40
Pas de message de CI depuis 2-3 jours, je commence à croire que le problème est réglé!! :D
S'il y a un souci, je me permettrai de redemander de l'aide... :roll:
Merci encore de m'avoir aidé et de permmetre aux gens de prendre conscience des risques d'Internet.


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Lun 10 Sep 2007 - 18:37 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:D
Mais oui il est réglé.
t'inquiéte pas.
:lol:
Puis si non .... reviens nous le dire.


Sans rire je pense que c'est bon.
;)

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 27 messages ]  Aller à la page Précédent  1, 2

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr