Sujet Précédent Sujet Suivant

Analyse hijack

Fermé
Pierrot - 1 mars 2006 à 09:38
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 - 2 mars 2006 à 21:34
Bonjour à tous,
J'ai un problème avec mon pc a savoir que je pense avoir chopper un ver qui me lance un programme (genre modulah.exe) et qui cherche a m'envoyer un nombre important d'emails.
Voici mon analyse avec hjack.
Merci d'avance pour votre aide
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Siber Systems\AI RoboForm\RoboFormWatcher.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\The Cleaner\tca.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pierre\Mes documents\Mes programmes\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.junpojynawztnaoqstgicbxzz.com/RbuUzkl7Hx7Mix6U46/72yPYh04aftLL87Zlt8UDliI87SboAqyEK3uHbeDQmKLr.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RoboForm] C:\Program Files\Siber Systems\AI RoboForm\RoboFormWatcher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: &2 Robo Customize Menu - res://C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll/CustomizeIEMenu.html
O8 - Extra context menu item: &7 Robo Fill Forms - res://C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll/FindAndFillPbe.html
O8 - Extra context menu item: &8 Robo Save Forms - res://C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll/MemorizePbe.html
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Viewpoint Search - res://C:\Program Files\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O9 - Extra 'Tools' menuitem: &7 Robo Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O9 - Extra button: Identities - {45DB34C3-955C-11D3-ABEF-444553540000} - C:\Program Files\Siber Systems\AI RoboForm\Identities.exe
O9 - Extra 'Tools' menuitem: &3 Robo Edit Identities - {45DB34C3-955C-11D3-ABEF-444553540000} - C:\Program Files\Siber Systems\AI RoboForm\Identities.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O9 - Extra 'Tools' menuitem: Robo Show(Hide) &Toolbar - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Documents and Settings\Pierre\Mes documents\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
A voir également:

6 réponses

Réponse 1 / 6
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
1 mars 2006 à 10:49
salut


tu as une infection lop.com car tu as accepté les sponsorts de msn+ ....

telecharge ca

http://pageperso.aol.fr/balltrap34/lopxp.zip

(Merci Moe31 et Balltrap34)

Dézippe-le (clic droit dessus > extraire tout)
et lance lopxp.bat


colle nous le rapport
0
Réponse 2 / 6
pierrot
1 mars 2006 à 20:10
Voici le rapport.
Rapport fait à 20:10:17,00 le 01/03/2006

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est EC62-4DFB

R‚pertoire de C:\Documents and Settings\All Users\Application Data

28/02/2006 19:31 <REP> Symantec
27/02/2006 18:51 <REP> AntiVir PersonalEdition Classic
27/02/2006 18:49 0 restart.txt
24/02/2006 13:29 <REP> Spybot - Search & Destroy
24/02/2006 11:26 305 addr_file.html
31/08/2005 12:31 <REP> Viewpoint
07/04/2005 23:54 <REP> Macrovision
25/03/2005 14:16 <REP> Messenger Plus!
01/03/2005 19:14 <REP> Skype
24/02/2005 12:43 <REP> DVD Shrink
24/02/2005 11:30 <REP> QuickTime
23/02/2005 13:00 <REP> Adobe
18/02/2005 15:07 62 desktop.ini
18/02/2005 15:07 <REP> ..
18/02/2005 15:07 <REP> .
18/02/2005 15:07 <REP> Microsoft
3 fichier(s) 367 octets
13 R‚p(s) 11895013376 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est EC62-4DFB

R‚pertoire de C:\Documents and Settings\Default User\Application Data

18/02/2005 15:07 62 desktop.ini
18/02/2005 15:07 <REP> ..
18/02/2005 15:07 <REP> Microsoft
18/02/2005 15:07 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 11895013376 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est EC62-4DFB

R‚pertoire de C:\Documents and Settings\Pierre\Application Data

28/02/2006 19:32 <REP> Symantec
25/02/2006 09:17 <REP> Webroot
24/02/2006 23:34 <REP> Lavasoft
02/02/2006 16:10 <REP> SlySoft
05/01/2006 11:35 <REP> ACD Systems
13/12/2005 12:22 <REP> Media Player Classic
01/12/2005 10:11 <REP> OpenOffice.org2
12/11/2005 03:13 <REP> Viewpoint
10/11/2005 15:43 <REP> Help
30/07/2005 12:50 <REP> Google
13/07/2005 11:10 <REP> NASA
16/04/2005 09:52 <REP> Memodateonce
08/03/2005 12:23 <REP> Sun
05/03/2005 12:09 <REP> Azureus
23/02/2005 20:08 <REP> AdobeUM
23/02/2005 20:07 <REP> Adobe
21/02/2005 12:38 <REP> Real
19/02/2005 19:07 <REP> Macromedia
19/02/2005 19:01 <REP> Microsoft Web Folders
18/02/2005 17:02 <REP> Identities
18/02/2005 17:02 62 desktop.ini
18/02/2005 17:02 <REP> Microsoft
18/02/2005 17:02 <REP> .
18/02/2005 17:02 <REP> ..
1 fichier(s) 62 octets
23 R‚p(s) 11895013376 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est EC62-4DFB

R‚pertoire de C:\WINDOWS\Tasks

18/02/2005 17:01 6 SA.DAT
18/02/2005 16:02 65 desktop.ini
18/02/2005 16:02 <REP> ..
18/02/2005 16:02 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 11ÿ895ÿ013ÿ376 octets libres

******************************************
Recherche dans Program files


C:\Program Files\C2Media Présent !

*************** Fin du rapport ****************
0
Réponse 3 / 6
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
1 mars 2006 à 20:55
Salut Ben,

je ne vois pas lop, tu le vois ou?

Jean
0
Réponse 4 / 6
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
1 mars 2006 à 22:34
salut Jean


oui j'ai fais une erreur on dirait ...

c'est cette ligne qui m'a mis un doute


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.junpojynawztnaoqstgicbxzz.com/RbuUzkl7Hx7Mix6U46/72yPYh04aftLL87Zlt8UDliI87SboAqyEK3uHbeDQmKLr.html

et la presence de msn +




sorry
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
2 mars 2006 à 06:29
salut Ben,

pour ton info, l'infection lop se traduit par trois lignes en general, l'une en O2 et 2 en O4, du style:

O2 - BHO: (no name) - {062454F1-29C2-8110-3FEC-80A83E2F62A7} - C:\DOCUME~1\MIDO\APPLIC~1\MATHBY~1\ManagerChin.exe

O4 - HKLM\..\Run: [SetupLiveSizeUpload] C:\Documents and Settings\All Users\Application Data\type second setup live\dupe settings.exe

O4 - HKCU\..\Run: [program comp] C:\DOCUME~1\MIDO\APPLIC~1\SHIMBA~1\bitstray.exe

bien entendu, le nom du proprio est differrent ainsi que le nom de l'exe à la fin.

Amitiés.
Jean
0
Réponse 6 / 6
ben13010 Messages postés 3356 Date d'inscription vendredi 24 septembre 2004 Statut Contributeur Dernière intervention 5 octobre 2012 387
2 mars 2006 à 21:34
merci pour ces precisons Jean

bye
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
mysti -

17 réponses
Analyse et réparation du lecteur C
Fusco -
Malekal_morte- -

9 réponses
échec de l'analyse antivirus
StalkerShadows -
ness -

19 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse
Echec analyse antivirus lors de téléchargement
mathelp_3935 -
Malekal_morte- -

19 réponses