Analyse d'un HijackThis en Mode sans Echec

fixer

R3 - URLSearchHook: (no name) - {00A6FAF6 - 072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL

02 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL
02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA } - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSBAR.DLL

08 - Extra context menu item: &Search - http$://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYFR_ZNxdm414YYFR

016 - DPF: {1D4D87D2-6EC9-47A3-BD87-1E41684E07BB} -
http$://ak.imgfarm.com/images/nocache/fuunwebproducts/ei-2/SmileyCentral<--à éviter pour ne pas récolter ta série d'hijack "web search"

xfire <-- je crois pas que ce soit très méchant, m'enfin! ....



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

lol dolly je repond au meme log sur un autre post : gros soucis faille rpc Rien ne sert de courir
les emmerdements viendront bien assez vite

fixer c'est cocher la case et -->fix checked

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

voila j'ai fixé. mais tjrs le mm soucis, je peux faire un hjack en mode normal si j'arrive a demarrer en mode normal et si eventuellement le soucis peut etre vu par hijack ?

good idee Rien ne sert de courir
les emmerdements viendront bien assez vite

1 conseil active le parfeu d'xp avant de te connecter - suis sûre que tu as une faille de sécu de ce côté

http://www.sebsite.org/article.php3?id_article=92

retarde ton horloge d'un mois ou de 10 jours.... aussi



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Logfile of HIjackThis V13.99.1
Scan Saved at 21:28:08, on 28/01/2004 (j'ai recule ma pendule)
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer V6.00 SP2 (6.00.2900.2180)

Running Processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\Winlogon.exe
C:\WINDOWS\System32\Services.exe
C:\WINDOWS\System32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Program files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\taskmngr.exe
C:\Program files\u-storage tool2.91\ustorage.exe
C:\Program files\The Cleaner\tcm.exe
C:\Program files\The Cleaner\tca.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program files\AVPersonal\AVGNT.EXE
C:\Program files\ATI Technologie\ATI Control Panel\atiptaxx.exe
C:\Program files\MSN MEssenger\MsnMsgr.Exe
C:\Program files\eMule\emule.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar, LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00A6FAF6 - 072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL (file missing)
02 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL (file missing)
02 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb9B51-7695ECA05670] C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
02 - BHO:AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 } - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA } - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSBAR.DLL (file missing)
02 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
02 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\program files\googltoolbar2.dll
03 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\program files\google\googletoolbar2.dll
03 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
04 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.91\ustorage.exe sys_auto_run C:\program Files\U-Storage Tool2.91
04 - HKLM\..\Run: [tcmonitor] c:\Program Files\The Cleaner\tcm.exe
04 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
04 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
04 - KHLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter /S
04 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
04 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus PErsonal\kav.exe /minimize
04 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
04 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control PAnel\atiptaxx.exe
04 - HKLM\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MSNMsgr.EXE" /background
04 - HKLM\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
04 - Starttup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
04 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_s1.exe
04 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
04 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
08 - Extra context menu item: &Google Search - res://c:\program files\googleToolbar2.dll/cmsearch.htm
08 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYFR_ZNxdm414YYFR
08 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGR~1\Office10\EXCEL.EXE/3000
08 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
08 - Extra context menu item: Pages Similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
08 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
010 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
014 - IERESET.INF: START_PAGE_URL=http://www.google.fr
016 - DPF: {1D4D87D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fuunwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
016 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
023 - Service Antivir Update (AVWUpSrv) - H+BEDV Datechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
023 - Service kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe


Voila le Hijack en mode normal, il semble etre le meme avec les appli en plus ouvertes et tjrs les lignes que j'ai fixé en mode sans echec ?!

Hello dolly

Doute sur celui la:
C:\WINDOWS\System32\taskmngr.exe

d'apres sophos :
Les autres composants utilisés par W32/IrcBounce-A, tels que kill.exe, mdm.exe, mdm.scr, ncp.exe, psexec.exe et taskmngr.exe sont sains et donc non détectés.

Qu'en penses tu ? Rien ne sert de courir
les emmerdements viendront bien assez vite

en mode sans échec - tu n'as pas les programmes actifs - web search apparait ici en 04

fixer

R3 - URLSearchHook: (no name) - {00A6FAF6 - 072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL (file missing)

02 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL (file missing)

02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA } - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSBAR.DLL (file missing)

les lignes 04
1) CTRL/ALT/SUPP : arrête ces programmes
2) tu repasses sur le log et tu fixes (pour ça que les fix ont échoués tt à l'heure puisque les processus n'étaient pas amorcés dans cette partie)

04 - HKLM\..\Run: [UStorag] c:\program files\u-storage tool2.91\ustorage.exe sys_auto_run C:\program Files\U-Storage Tool2.91 <-- à quoi ça sert ça??
04 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
04 - HKLM\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart <--la mule en démarrage vmouais! ne coche pas dans l'hijack mais décoche dans msconfig
04 - Starttup: Xfire.lnk = C:\Program Files<--dans\Xfire\Xfire.exe <--recherche tout le programme et supprime-le
04 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

08 - Extra context menu item: &Search - http$$://bar.mywebsearch.com/menusearch.html?p=

010 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing <-- vire-le - s'il faut il est corrompu ton programme - il n'a absolument rien à faire sur cette ligne

016 - DPF: {1D4D87D2-6EC9-47A3-BD87-1E41684E07BB} - htt$$://ak.imgfarm.com/images/nocache/fuunwebproducts/ei-2/SmileyCentral


ensuite recherche toutes traces de XFire et vire tout - tu l'as download où ?

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!! coche!!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[ !!décoche!!] la case "Masquer les fichiers protégés du système d'exploitation" *

3) passe en mode sans échec :
donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\---> supprime : [xxxxxx].exe

5) redémarre en mode normal - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

pour le log
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack (donc : coche les cases et ensuite fix checked!)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

O10 - Pirates de Winsock
Mieux vaut les réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Notez que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.

http://www.cexx.org/lspfix.htm

télécharger Ad-aware.SE/ Spybot.s&d 1.3
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
http://www.emsisoft.net/fr/software/download/

SpySweeper 1.3/anti-spywares (30 jours d'essai)
http://www.webroot.com/fr/index.php




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

tu as les noms des détections ? qu'on fasse une vérif quand même
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

selon mes recherches sur Google


DLL File: mswsock or mswsock.dll
DLL Name: Microsoft Windows Sockets 2.0 Service Provider
Description:
mswsock.dll is a module providing extensions for Winsock. Services provided by this file are not part of Winsock.
Part Of: Windows Socket
System DLL: Yes
qui sert à ça apparement
Common Errors: File Not Found, Missing File, Exception Errors

Xfire -(vu sur Google - j'ai pas cliqué)
... and this is what popped up. file: Description : : mswsock.dl tcpip winrnr.dll
NTDS CSLSP.DLL (Protocol handler) rsvpsp.dll <--ouch! les mêmes ?

Nl_lsp.dll = Netlimiter <- ça je connais c'est bon

Original filename : rsvpsp.dll
Product name : Microsoft® Windows® Millennium Operating System
trouvé sur Google un log LSP d'ad-aware
http://www.lavasoftsupport.com/index.php?showtopic=58408

aieeee! comment savoir..... ô secours!

tu peux faire une sauvegarde avec LSP FIX ?



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

je viens de checker sur LSP Fix mais pas de sauvegarde possible ! Apparamment tout fonctionne impecable a present j'ai pu relancer internet, le reseau, exactement comme avant ! tu es vraiment doué merci encore.

Je garde donc en protection :
- Kaspersky (il a du me prevenir a l'install de xfire mais j'ai fais ignorer)
- Le parefeu du routeur bien entendu (je pense que c'est mieux que le parefeu windows)
- a2 squared (l'anti trojans dont tu m'a parlé qui est entrain de checker le C)
- et enfin Spybot

Qu'en penses tu ?

laisse les autres détections du LSPFix, du moment que t'as viré XFire avec le LSPFix + l'exe - ça va être bon normalement


marrant j'ai trouvé ça sur Google un lspFix sur le forum Xfire
http://www.xfire.com/xf/modules.php?name=Forums&file=viewtopic&t=268&start=30
exactement les mm détections que toi : remove/keep (normalement aux dernières nouvelles : keep c'est garder donc ?? )


a² : c'est pour 30 jours donc.... il est assez performant sans plus, ça fait du ménage dans un 1er temps

Spysweeper : est actuellement l'antispys parmi les mieux notés aux derniers tests - idem 30 jours d'essai autant en profiter - tu devrais tester aussi
j'ai fini mon essai - je crois que je vais me l'offrir ce soft un de ces jours

spybot 1.3 et ad-aware se : par contre sont gratuits d'usage/efficaces et complémentaires autant prendre les 2 pour le prix :-=

le parefeu du routeur tu crois que ça suffit?

kasper c'est bon - mis à jour et scan régulier ça devrait le faire normalement - c'est un très bon antivirus - faut quand même avoir une version récente

c'tout non? on a tout dit :-]]]


bon surf couvert alors ^_^






*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

merci - je te dis pas à bientôt ^_^



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*