cheval, virus

cheval, virus - Sécurité - Windows & Software

Marsh Posté le 11-09-2005 à 20:05:52    

bonsoir, depuis quelques jours, une fois sur windows lancement direct sans mon intervention d'internet avec telechargement et ouverture de fenetres et envahissement de chevaux de troie.
j'ai reussi avec plusieurs antivirus et l'installation de zone alarme a bloque le processus mais malgres tout, un executif restore.exe a essaye plusieurs fois de se lancer mais a ete bloque par zone alarme. j'ai fouille dans la barre de registre et j'ai trouve ceci, dois je l'effacer.
 
 indows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant]
"InstallDir"="C:\\WINDOWS\\srchasst\\"
"Actor"="c:\\windows\\srchasst\\chars\\rover.acs"
"UsageCount"=dword:00000021
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru]
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="restore.exe"
"001"="ohmir.exe"
"002"="lvcomsx.exe"
"003"="dyfuca"
"004"="roings"
"005"="orans"
"006"="disquette de demarrage"
"007"="re"
"008"="kyodai"
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="clein d'oeil"
"001"="re"
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips]
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl]
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa0]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa1]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa2]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa4]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa5]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa6]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa8]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\fa9]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Tips\SrchAssCtl\faa]
"TimesResisted"=dword:00000000
"TimesDisplayed"=dword:00000000

Reply

Marsh Posté le 11-09-2005 à 20:05:52   

Reply

Marsh Posté le 11-09-2005 à 23:20:06    

bonsoir apres avoir passe ad-aware et spy bot , hijackithis:
 
ogfile of HijackThis v1.99.1
Scan saved at 23:11:21, on 11/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\restore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vfcmzjoxzrbcktvacuy.com/UM7 [...] gsynG.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Ouvrir avec le Navigateur GetRight - C:\Program Files\GetRight\GRBrowse.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Télécharger avec GetRight - C:\Program Files\GetRight\GRDownload.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_nos_med.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/22a93f [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2656675875
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Groove Games Licensing Service - Groove Games - C:\Program Files\Fichiers communs\Groove Games Shared\Service\ggameslicsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

Reply

Marsh Posté le 11-09-2005 à 23:39:33    

pour le rapport => http://www.hijackthis.de :o


Message édité par freds45 le 11-09-2005 à 23:39:50

---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 15-09-2005 à 19:23:43    

Non, n'utilise pas ce site. Surtout si débutant. Allez, freds45, si c'est pour poster ça...  
Bon, plutard, si tu le veux bien, on va scanner le fichier « restore.exe » sur un site spécialisé. Ok ?
 
Clique ici ! Copie ceci :
C:\WINDOWS\restore.exe
Colle-le ensuite dans le chapm de saisie du site. Clique ensuite sur le bouton « submit ». Patience, il envoie le fichier pour le scanner avec divers antivirus. Lorsque c'est fini, copie/colle les résultats ici, comme pour HiJackThis. (Avec les antivirus bien sûr...)
À plus tard ! :lol:  
:D

Reply

Marsh Posté le 16-09-2005 à 00:37:49    

y@nnik a écrit :

Non, n'utilise pas ce site. Surtout si débutant. Allez, freds45, si c'est pour poster ça...
Bon, plutard, si tu le veux bien, on va scanner le fichier « restore.exe » sur un site spécialisé. Ok ?
 
Clique ici ! Copie ceci :
C:\WINDOWS\restore.exe
Colle-le ensuite dans le chapm de saisie du site. Clique ensuite sur le bouton « submit ». Patience, il envoie le fichier pour le scanner avec divers antivirus. Lorsque c'est fini, copie/colle les résultats ici, comme pour HiJackThis. (Avec les antivirus bien sûr...)
À plus tard ! :lol:  
:D


 
Je poste juste ça car c'est lourd les mecs qui font que poster un log hijackthis, SANS avoir fait un minimum de recherche de leur côté... Alors tes commentaires tu te les gardes, merci :hello:  
Et je vois pas ce que tu lui reproches, au site en question... :whistle:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 16-09-2005 à 12:45:14    

Que veux-tu qu'il recherche s'il ne comprend rien dans le rapport ? :heink:  
Donc, si je comprends bien, ton raisonnement, c'est : si tu cherches pas, débrouille-toi.
Oui, bah un forum, c'est pas ça je suis désolé. Un forum, c'est fait pour s'entraider.  
Et puis, c'est pareil. Toi, tu ne cherches pas non plus : tu dis « Et je vois pas ce que tu lui reproches, au site en question... » Si tu avais cherché et fait des testes, tu n'aurais pas dit ça.
Bon, allez.  :hello: et bonne journée, freds45.
 :jap:

Reply

Marsh Posté le 16-09-2005 à 13:38:15    

y@nnik a écrit :

Que veux-tu qu'il recherche s'il ne comprend rien dans le rapport ? :heink:  
Donc, si je comprends bien, ton raisonnement, c'est : si tu cherches pas, débrouille-toi.
Oui, bah un forum, c'est pas ça je suis désolé. Un forum, c'est fait pour s'entraider.  
Et puis, c'est pareil. Toi, tu ne cherches pas non plus : tu dis « Et je vois pas ce que tu lui reproches, au site en question... » Si tu avais cherché et fait des testes, tu n'aurais pas dit ça.
Bon, allez.  :hello: et bonne journée, freds45.
 :jap:


 
 
=> sur le site en question, on te dit si c'est "bon ou pas bon", ca donne deja une idee, plutot que de poster un log brut et un message "ca marche pas :cry: " ...
Meme chose pour un forum : entraide ok, mais ca implique que l'autre ait deja cherché un peu pour résoudre son pb. Faire la bonniche, c'est pas le role d'un forum ;)
Et le site en question, je l'ai déjà utilisé... :hello: Et tu n'as toujours pas répondu à ma question par rapport à ce que tu lui reproches, à ce site... :)


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 16-09-2005 à 21:13:45    

Ce site dit parfois n'importe quoi. Par exemple, j'ai testé avec mon log. J'avais comme page d'accueil un autre forum. Qu'est-ce qu'il me répond ? « Méchant ! À fixer immédiatement. »  :pfff:  

Reply

Marsh Posté le 16-09-2005 à 21:48:12    

y@nnik a écrit :

Ce site dit parfois n'importe quoi. Par exemple, j'ai testé avec mon log. J'avais comme page d'accueil un autre forum. Qu'est-ce qu'il me répond ? « Méchant ! À fixer immédiatement. »  :pfff:


 
Dans ces cas là, on a un cerveau, qui sert aussi à comprendre les choses...


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 17-09-2005 à 14:40:50    

Oui, mais crois-moi, pour un débutant, c'est pas facile. Vu qu'il n'y connaît rien en rapport, il va faire confiance au site puis il va fixer les lignes...

Reply

Marsh Posté le 17-09-2005 à 14:40:50   

Reply

Marsh Posté le 17-09-2005 à 20:26:58    

freds45
 
Il est chouette ton site :
 

Citation :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://vfcmzjoxzrbcktvacuy.com/UM7 [...] gsynG.html    
Bon   Ce site a été identifié comme étant non dangereux


 
Il identifie Lop.com comme non dangereux!
 
Au moins pour le trojan:
 
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe  Service inconnu. (restore.exe)
 

Reply

Marsh Posté le 22-09-2005 à 18:55:26    

Et là, il va te répondre « on a un cerveau, qui sert aussi à comprendre les choses... » [...]
 :pfff:

Reply

Marsh Posté le 23-09-2005 à 11:53:58    

Encore un qui pige rien :pfff: Mon objectif, dans ce post,c'etait de dire qu'il y en a MARRE des gens qui postent des logs hijack this sur ce forum sans rien chercher avant !
Alors avant de dire n'importe quoi, réfléchis un minimum !
http://forum.hardware.fr/hardwaref [...] m#t2143833
http://forum.hardware.fr/hardwaref [...] m#t2143852 et posts suivants....


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 23-09-2005 à 13:03:24    

freds45 a écrit :

Encore un qui pige rien :pfff: Mon objectif, dans ce post,c'etait de dire qu'il y en a MARRE des gens qui postent des logs hijack this sur ce forum sans rien chercher avant !


 
Pas évident d'interpréter un rapport HijackThis même avec l'aide d'un automate qui ne te donnera ni les utilitaires à utiliser pas plus que la procédure pour effacer les fichiers infectés du disque.
 
:whistle: Plus facile à dire qu'à faire...
 
 

Reply

Marsh Posté le 23-09-2005 à 13:17:19    

google est ton ami, tu as le droit de l'utiliser pour les noms qui te semblent suspects... :hello:


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 23-09-2005 à 19:59:52    

freds45 a écrit :

google est ton ami, tu as le droit de l'utiliser pour les noms qui te semblent suspects... :hello:


 
C'est bien rare quand j'analyse un log que je n'ouvre pas Google au moins une fois.
 
Le gros pb, ça va être pour les noms aléatoires du genre:
mv25l9fo1.dll  
 
qui seront classés "inconnus" par ton site. Et dont l'outil de désinfection est très spécifique.
 
Et puis j'avoue que j'en ai un peu marre de ces discussions...

Reply

Marsh Posté le 23-09-2005 à 20:19:27    

acrobaze a écrit :

C'est bien rare quand j'analyse un log que je n'ouvre pas Google au moins une fois.
 
Le gros pb, ça va être pour les noms aléatoires du genre:
mv25l9fo1.dll  
 
qui seront classés "inconnus" par ton site. Et dont l'outil de désinfection est très spécifique.
 
Et puis j'avoue que j'en ai un peu marre de ces discussions...


 
 
et moi des posts hijack this qui polluent ce forum :o


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 24-09-2005 à 17:22:06    

De toute façon, si t'en a marre des rapports HiJackThis, personne ne t'oblige à venir ici. Ok ? On ne peut pas solutionner son problème que par des recherches. Comme dit Acrobaze, il y a plein de trojan et autre qui utilise des noms vraiment aléatoire. Et dans ce cas, un débutant ne peut pas s'y retrouver, même en cherchant. ;)  
Voilà, de toute façon, le sujet est clos : ce n'est pas le but de ce topic.
De plus, c'est une discussion sans fin, si ça continue comme ça.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed