Bonjour,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJT­Install.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

VOICI LE LOG :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:35, on 22/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\WTD11A.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.babylon.com/redirects/purchase.cgi?type=2177&lang=3&trid=CLWSPR5MWFR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = prediff
O17 - HKLM\Software\..\Telephony: DomainName = prediff
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5FA00C0-F7AD-4AF4-93F3-C0DEEC3B3956}: NameServer = 10.12.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = prediff
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = prediff.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = prediff
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = prediff.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = prediff.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
End of file - 3797 bytes

Quelques dégats que j'ai remarqués :
- les icônes vieillissent c-à-d des 16x16 de Win98 (mes doc, poste de W, ....)
- windows dit qu'il ne trouve pas le fichier lorsqu'on ouvre un .htm et .html mais le navigateur l'ouvre qd même
- etc.

En fait, le nom de 6 kres n'est pas hexa mais au hasard en majuscule et change à chaque redémarrage !!!

Re,

ne redémarre pas l'ordi et donne le nom complet du fichier concerné.
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Les voici actuellement dans temp :
PNE961.EXE, WTE666.EXE

C'est PNE961.EXE qui est lancé !

Re,

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Windows\Temp\PNE961.EXE

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : PNE961
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)


--

@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Je vais faire tout ça !

Bonjour,

En plus, le processus est malin, quand on termine le processus, il s'efface dans C:\Windows\Temp, pour le récupérer, il a fallu lui copier pdt l'exécution ou éteindre le PC en enlevant la cable d'alim.

Voici le rapport de VIRUSTOTAL:
Fichier ODD1F4.EXE reçu le 2007.10.23 08:03:14 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.23.0 2007.10.23 -
AntiVir 7.6.0.27 2007.10.22 -
Authentium 4.93.8 2007.10.22 -
Avast 4.7.1051.0 2007.10.22 -
AVG 7.5.0.488 2007.10.22 -
BitDefender 7.2 2007.10.22 -
CAT-QuickHeal 9.00 2007.10.22 -
ClamAV 0.91.2 2007.10.23 -
DrWeb 4.44.0.09170 2007.10.23 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5232 2007.10.23 -
Ewido 4.0 2007.10.22 -
FileAdvisor 1 2007.10.23 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.22 -
F-Secure 6.70.13030.0 2007.10.23 -
Ikarus T3.1.1.12 2007.10.23 -
Kaspersky 7.0.0.125 2007.10.23 -
McAfee 5146 2007.10.22 -
Microsoft 1.2908 2007.10.23 -
NOD32v2 2608 2007.10.23 -
Norman 5.80.02 2007.10.22 -
Panda 9.0.0.4 2007.10.23 -
Prevx1 V2 2007.10.23 -
Rising 19.46.11.00 2007.10.23 -
Sophos 4.22.0 2007.10.23 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.23 -
TheHacker 6.2.9.105 2007.10.23 -
VBA32 3.12.2.4 2007.10.22 -
VirusBuster 4.3.26:9 2007.10.22 -
Webwasher-Gateway 6.6.1 2007.10.23 -
Information additionnelle
File size: 172099 bytes
MD5: 90975bb3460970efbacfecfcff833917
SHA1: 0a05f587ffff72fe43740a51371f2108a0afa80e

CONCLUSION
Rien !
De même avec OAD. Je ne pense que ce soit possible que c'est pas un virus puisqu'il se crée toujours avec d'autres noms et à mon insu !!

Bonjour,

car mon antivirus Trend ne le détecte pas . Comme tu vas le voir, ton antivirus ne risque pas de le détecter !

Une recherche sur le MD5 du fichier renvoie (entre autres) à ce post qui ne date pas d'hier :

processus avec une icone de chien

On y apprend qure c'est l'icône de la msie à jour de ton antivirus.

pas de souci donc.



@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Bref, affolement pour peu de choses.. A force de se faire "spammer" ou "virussier" (lol), on devient un peu parano...

Bonjour,

exact.

L'essentiel c'est que ce soit réglé.

Bon surf
@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.

Ca se voit que Trend emploie des anciens créateurs de virus dans ses rangs. Pourquoi faire de telle chose pour une mise à jour alors ?

Bonjour,

pas d'idée.

Je crois avoir lu qu'ils avaient fait exprès (le caractère aléatoire de la mise à jour) pour déjouer une corruption au moment de la mise à jour.

@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal ­quatre.