Problème de Spyware ??? Sur Internet Explorer 6 ... Grrr !

Problème de Spyware ??? Sur Internet Explorer 6 ... Grrr ! - Sécurité - Windows & Software

Marsh Posté le 29-08-2004 à 18:48:54    

Salut a tous !
 
Bon je vous le dit tout de suite je suis assez nul en software (par rapport au hardware)  :(  
Je vous explique mon problème, j'ai une merde sur internet explorer, ma page de démarrage a changé et imossible de remettre celle d'avant ou une autre  :heink:   le pire c'est que c'est marqué : "about:blank" dans la barre d'adresse, le site qui se marque en dessous quand ca charge est : "http://www.v61.com/cgi-bin/counter/hp?2961... " bon ca c'est chiant mais ca va encore, le plus chiant c'est que dès que je tape une recharche sur google, et beh ca me fait une recherche en annexe sur le site "http://search-to-find.com" et ca me le fout devant la fenetre de google...  :fou:  
Et ces 2 sites m'ont l'air d'être les mêmes...
 
J'ai fait des scans d'addaware6 updaté ke dale, un scanne de trend micro ne marche pa ca me coupe IE6...
 
J'ai windows 2k Pro NT
 
Help please !  :jap:

Reply

Marsh Posté le 29-08-2004 à 18:48:54   

Reply

Marsh Posté le 29-08-2004 à 18:50:15    


Tu pourrais poster un rapport HijackThis, stp?

Reply

Marsh Posté le 29-08-2004 à 18:51:20    

kesako ? dsl je vous l'ai dit je suis nuul :(

Reply

Marsh Posté le 29-08-2004 à 18:54:19    

recherche sur le forum pour "about-blank"
 
recherche le topic unique Spyware et autres joyeusetés et essaye les différents logiciels qu'il y a (CWShredder, Spybot.) dont hijack pour qu'on t'aide

Reply

Marsh Posté le 29-08-2004 à 18:56:12    

oki doki merci

Reply

Marsh Posté le 29-08-2004 à 19:07:47    

tiens nous au courant ;)

Reply

Marsh Posté le 30-08-2004 à 19:31:22    

4SpiK a écrit :

kesako ? dsl je vous l'ai dit je suis nuul :(


 
C'est ça:
 
Télécharger "HijackThis" sur:
 
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.

Reply

Marsh Posté le 31-08-2004 à 16:44:28    

Citation :

Tu pourrais poster un rapport HijackThis, stp?


 
ou tu purrais prendre firefox stp ? pour éviter d'avoir des proble de spyware   :fou:  :fou:

Reply

Marsh Posté le 01-09-2004 à 00:17:09    

Bon je ferrai les deux demain ;)
 
Edit : Je croyais que Firefox etait un anti spyware  :pt1cable:


Message édité par #SubZero le 01-09-2004 à 16:51:09
Reply

Marsh Posté le 01-09-2004 à 16:48:41    

Voila le rapport HiJack : Bonne lecture  :whistle: et merci de m'aider  :)  :
 
Logfile of HijackThis v1.98.2
Scan saved at 16:54:50, on 01/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\crcv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\USB Card Reader Driver v1.9b\Disk_Monitor.exe
C:\WINNT\apihp.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\MSI\PC Alert III\alert.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis19802.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hodfl.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A77434A8-2A5A-0D6C-E091-D2585FDF75F3} - C:\WINNT\system32\netxt32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\\USB Card Reader Driver v1.9b\Disk_Monitor.exe
O4 - HKLM\..\Run: [apihp.exe] C:\WINNT\apihp.exe
O4 - HKLM\..\Run: [onoaasldutuka] C:\WINNT\system32\alersi.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1021.dll,InstantAccess
O4 - HKCU\..\Run: [Srnr] C:\Documents and Settings\Administrateur\Application Data\lmce.exe
O4 - HKCU\..\Run: [Jgc] C:\WINNT\system32\xdd.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binar [...] 021_FR.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\hwuvbytn.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] v32_FR.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] e_5_FR.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11984.kit.carpediem.fr/FanClara.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.sado-x.com/acces/257/sado-x.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83C15D72-7D43-4E75-904D-F535F294A00D}: NameServer = 80.10.246.130 80.10.246.3
 

Reply

Marsh Posté le 01-09-2004 à 16:48:41   

Reply

Marsh Posté le 01-09-2004 à 17:26:44    


Ok. C'est un cas assez particulier.
 
NE TOUCHE PAS ENCORE AU RAPPORT HijackThis!
 
Fais ceci avant:
 
Télécharger ce petit programme qui nous donnera la liste
des services :
 
http://d21c.com/Tom41/get_active_services_179_161.zip
 
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.

Reply

Marsh Posté le 01-09-2004 à 17:39:15    

Oui, je t'explique tout de même pourquoi il ne faut rien toucher...rien supprimer...
Le trojan a créé un service. A chaque fichier que tu supprimeras, il en recréera d'autres.
 
Donc laisser en l'état tant que le service n'est pas connu.

Reply

Marsh Posté le 01-09-2004 à 18:06:06    

okk j'ai compris :) c'est vraiement une belle merde  :fou:

Reply

Marsh Posté le 01-09-2004 à 18:20:00    

Les desirs d'acrobaze sont des ordres !  
[:roi]
 
These are the Current Active Services:
 
 EXPLORATEUR D'ORDINATEUR: Browser
C:\WINNT\System32\services.exe
 
 CLIENT DHCP: Dhcp
C:\WINNT\System32\services.exe
 
 GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINNT\System32\services.exe
 
 CLIENT DNS: Dnscache
C:\WINNT\System32\services.exe
 
 JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINNT\system32\services.exe
 
 SERVEUR: lanmanserver
C:\WINNT\System32\services.exe
 
 STATION DE TRAVAIL: lanmanworkstation
C:\WINNT\System32\services.exe
 
 SERVICE D'APPLICATION D'ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINNT\System32\services.exe
 
 PLUG-AND-PLAY: PlugPlay
C:\WINNT\system32\services.exe
 
 EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINNT\system32\services.exe
 
 SERVICE D'EXÉCUTION PAR DÉLÉGATION: seclogon
C:\WINNT\system32\services.exe
 
 CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINNT\system32\services.exe
 
 EXTENSIONS DU PILOTE WMI: Wmi
C:\WINNT\system32\Services.exe
 
 SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINNT\System32\svchost.exe -k netsvcs
 
 CONNEXIONS RÉSEAU: Netman
C:\WINNT\System32\svchost.exe -k netsvcs
 
 MÉDIAS AMOVIBLES: NtmsSvc
C:\WINNT\System32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINNT\System32\svchost.exe -k netsvcs
 
 NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINNT\system32\svchost.exe -k netsvcs
 
 TÉLÉPHONIE: TapiSrv
C:\WINNT\System32\svchost.exe -k netsvcs
 
 LEXBCE SERVER: LexBceS
C:\WINNT\system32\LEXBCES.EXE
 
 WINDOWS INSTALLER: MSIServer
C:\WINNT\System32\MsiExec.exe /V
 
 REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåȲ$Ó
C:\WINNT\crcv.exe /s
 
 AGENT DE STRATÉGIE IPSEC: PolicyAgent
C:\WINNT\System32\lsass.exe
 
 GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINNT\system32\lsass.exe
 
 SERVICE D'ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINNT\system32\regsvc.exe
 
 APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINNT\system32\svchost -k rpcss
 
 PLANIFICATEUR DE TÂCHES: Schedule
C:\WINNT\system32\MSTask.exe
 
 SPOULEUR D'IMPRESSION: Spooler
C:\WINNT\system32\spoolsv.exe
 
 STILL IMAGE SERVICE: StiSvc
C:\WINNT\system32\stisvc.exe
 
 INFRASTRUCTURE DE GESTION WINDOWS: WinMgmt
C:\WINNT\System32\WBEM\WinMgmt.exe
 
 WMDM PMSP SERVICE: WMDM PMSP Service
C:\WINNT\system32\mspmspsv.exe
 
 MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINNT\system32\svchost.exe -k wugroup

Reply

Marsh Posté le 01-09-2004 à 18:34:50    

Alors ???

Reply

Marsh Posté le 01-09-2004 à 18:54:40    

joli celui-là :D
 
REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåȲ$Ó
C:\WINNT\crcv.exe /s

Reply

Marsh Posté le 01-09-2004 à 18:55:16    

Je l'enlève ?

Reply

Marsh Posté le 01-09-2004 à 19:04:15    

attend d'autres avis car là dessus je ne suis pas pro du tout. Je dirai qu'il faut arrêter le service, puis après je pense qu'un truc style adware doit être capable d'enlever la saloperie qui va avec. Ou alors faut le faire à la main en arrêtant les processus pas clean et en fixant avec HijackThis.

Reply

Marsh Posté le 01-09-2004 à 19:04:32    


On y va? Allez, go!
 
 
On va se faire aider par un petit programme : About:Buster.  
Tu le télécharges sur :  
http://www.zerosrealm.com/index.php?page=dllfix  
Et tu le laisses en attente sur ton bureau
 
 
1- Touches ContolAltSuppr
Terminer les processus:
crcv.exe  
apihp.exe  
 
2-Démarrer->exécuter->taper  services.msc
Double clique " REMOTE PROCEDURE CALL (RPC) HELPER "
Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".  
 
3-Ferme tous les programmes, y compris IE.  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hodfl.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {A77434A8-2A5A-0D6C-E091-D2585FDF75F3} - C:\WINNT\system32\netxt32.dll  
O4 - HKLM\..\Run: [apihp.exe] C:\WINNT\apihp.exe  
O4 - HKLM\..\Run: [onoaasldutuka] C:\WINNT\system32\alersi.exe  
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1021.dll,InstantAccess  
O4 - HKCU\..\Run: [Jgc] C:\WINNT\system32\xdd.exe  
 
O15 - Trusted Zone: *.05p.com  
O15 - Trusted Zone: *.clickspring.net  
O15 - Trusted Zone: *.mt-download.com  
O15 - Trusted Zone: *.my-internet.info  
O15 - Trusted Zone: *.scoobidoo.com  
O15 - Trusted Zone: *.searchmiracle.com  
 
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/op/PackageHtmlCab.CAB  
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab  
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binar [...] 021_FR.cab  
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\hwuvbytn.exe  
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binar [...] v32_FR.cab  
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binar [...] e_5_FR.cab  
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11984.kit.carpediem.fr/FanClara.exe  
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.sado-x.com/acces/257/sado-x.exe  
 
 
Coche dans HijackThis puis clique "Fix checked".  
 
 
 
4-Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Assure-toi que tu as accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
""Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Et supprime :
C:\WINNT\system32\hodfl.dll
C:\WINNT\apihp.exe  
C:\WINNT\system32\alersi.exe  
p2esocks_1021.dll <-par "rechercher"
C:\WINNT\system32\xdd.exe  
C:\WINNT\crcv.exe  
 
 
5-Toujours en mode sans échec, lance About:Buster, 2 fois de suite.
 
6-Redémarre et télécharge ce fichier:
 
http://www3.ns.sympatico.ca/c.bennett03/cwsregfix.zip
Lance'-le, double clique le fichier reg et réponds oui à la question
posée.
 
 
-------------------------
 
Ouf! Imprime le tout pour ne pas en oublier!  :D  
 
Et enfin, poste un nouvel HijackThis.

Reply

Marsh Posté le 01-09-2004 à 19:13:34    

crcv ne veut pas se terminer...
Quand je Double clique sur " REMOTE PROCEDURE CALL (RPC) HELPER "
et quand je fait appliquer ca me met : "Gestionnaire de configuration : une erreur interne s'est produite"
Je fais ok et c'est bon...
 
Je continue tout ça après je vais manger  ;)  :D


Message édité par #SubZero le 01-09-2004 à 19:14:25
Reply

Marsh Posté le 01-09-2004 à 19:17:42    


Bon, on va voir...

Reply

Marsh Posté le 01-09-2004 à 19:19:05    

au fait Acrobaze, comment tu sais tout ça? Tu bosses là-dedans? Car là tu me scie avec tes deux petits progs, je vais les noter et je ferai du copier/coller si un jour je dois aider qqun (avec un copyright si tu veux :D)

Reply

Marsh Posté le 01-09-2004 à 19:31:30    


Non, je ne bosse pas dans ce secteur. C'est en fréquentant un autre forum que je me suis intéressé aux questions de "sécurité".  
Et en fréquentant des forums anglo-saxons comme cybertechhelp ou computercops, on arrive à mettre au point comme ça des procédures assez efficaces.
 
Celle-là a toujours marché. Au début en capotant parfois. Mais depuis que j'ai ajouté About;Buster en mode sans échec, il n'y a plus d'échec, justement.
 
Le service a un nom jamais rencontré (REMOTE PROCEDURE CALL (RPC) HELPER), c'est souvent plutôt un truc du stle "Network Security Service".
 
On croise les doigts très fort! :lol:

Reply

Marsh Posté le 01-09-2004 à 19:55:59    

Bon je continue ! Merci en tout cas Acrobaze !

Reply

Marsh Posté le 01-09-2004 à 20:39:51    


Oki! Ca a mal commencé... :sweat:  
 
Bon, mais on va voir.

Reply

Marsh Posté le 01-09-2004 à 20:45:23    

Bon alors j'ai fait tout ce que tu m'a dit, et :
 
apihp.exe
alersi.exe
xdd.exe
 
étaient introuvables...
 
J'ai quand même continué la manipulation et voici le HiJackThis :

Reply

Marsh Posté le 01-09-2004 à 20:47:44    

Logfile of HijackThis v1.98.2
Scan saved at 20:54:05, on 01/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\USB Card Reader Driver v1.9b\Disk_Monitor.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Nikon\NkView4\NkVwMon.exe
C:\Program Files\MSI\PC Alert III\alert.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINNT\apizb32.exe
C:\WINNT\wined.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Bureau\Antimerde\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {04104256-BA73-C0D8-F288-020B824121D2} - C:\WINNT\mfcnd32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\\USB Card Reader Driver v1.9b\Disk_Monitor.exe
O4 - HKLM\..\Run: [wined.exe] C:\WINNT\wined.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [Srnr] C:\Documents and Settings\Administrateur\Application Data\lmce.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83C15D72-7D43-4E75-904D-F535F294A00D}: NameServer = 80.10.246.130 80.10.246.3
 

Reply

Marsh Posté le 01-09-2004 à 21:21:20    


Va voir le service en question : " REMOTE PROCEDURE CALL (RPC) HELPER ", comment est-il finalement? Activé? désactivé? Arrêté?
Je voudrais savoir ce qui a été pris en compte malgré l'affichage de l'erreur.

Reply

Marsh Posté le 01-09-2004 à 21:35:34    

il n'y est plus ?!!!

Reply

Marsh Posté le 01-09-2004 à 23:22:20    


C'est affreux ce truc! Mais il y a toujours un moyen.
 
D'après HijackThis, il y a donc eu des exe recréés.
 
Pour voir s'il y a une dll qui crée ces fichiers :
 
-Télécharger "FINDnFIX" sur:
http://downloads.subratam.org/FINDnFIX.exe
 
-le double cliquer, il va se décompresser dans un dossier c:\FINDnFIX
-Lancer le fichier !Log!.bat
-Il va rechercher quelques instants
-Il va éditer un fichier texte : Log.txt
-Poste le contenu de ce Log.txt.
 
S'il y a qq chose du genre :
 

Citation :

»»»»» (*4*) »»»»».........  
Sniffing..........  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
Sniffed -> C:\WINDOWS\SYSTEM32\FVITZ.DLL
SNiF 1.34 statistics
Matching files : 1 Amount in bytes : 56832
Directories searched : 1 Commands executed : 0
Masks sniffed for: *.DLL


 
on pourra s'en débarrasser une bonne fois.

Reply

Marsh Posté le 01-09-2004 à 23:34:08    

Cool ! Bon je le ferai ce week end parce que la, c'est la rentrée ! :D

Reply

Marsh Posté le 02-09-2004 à 19:32:34    


Oki! C'est vraiment galère ce truc. Mais maintenant, il y a tout de mm tous ces petits progs pour aider.

Reply

Marsh Posté le 02-09-2004 à 21:14:19    

voila le log :
 
 
Thu 02 Sep 04  21:20:06
 
 »»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»  
 
*System:  
Microsoft Windows 2000 Professional 5.0 Service Pack 4 (Build 2195)
*IE version:  
6.0.2800.1106 SP1
 
 
 
MS-DOS Version 5.00.500
 
*command.com test passed!  
 
__________________________________  
!!*Creating backups...!!  
 
The operation completed successfully
21:20:05,72 jeu. 02/09/2004  
__________________________________  
 
*Local time:  
jeudi 2 septembre 2004 (02/09/2004)
21:20, Paris, Madrid (heure d'été)
*Uptime:  
 21:20:07  up 0 days, 0:15:14
 
*Path:  
C:\FINDnFIX  
 ----------------------------------------------------  
»»Member of...: ("ADMIN" logon + group match required!)  
 
User is a member of group LUIS\Aucun.
User is a member of group \Tout le monde.
User is a member of group BUILTIN\Administrateurs.
User is a member of group BUILTIN\Utilisateurs.
User is a member of group AUTORITE NT\INTERACTIF.
User is a member of group AUTORITE NT\Utilisateurs authentifiés.
User is a member of group \LOCAL.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
 
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  
 
User: [LUIS\Administrateur], is a member of:
 
  BUILTIN\Administrateurs
  LUIS\Aucun
 
Running in WORKSTATION MODE.  
 
SystemDrive          is C:  
SystemRoot           is C:\WINNT  
Logon Domain         is LUIS  
Administrator's Name is Administrateur  
Computer Name        is LUIS  
LOGON SERVER         is \\LUIS  
 
»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»  
The list will produce a small database of files that will match certain criteria.  
Ex: read only files, s/h files, last modified date. size, etc.  
The filters provided and registry scan should match the  
corresponding file(s) listed.  
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  
 Unless the file match the entire criteria, it should not be pointed to remove  
without attempting to confirm it's nature!  
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»  
 At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!  
If in doubt, always search the file(s) and properties according to criteria!  
 
The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder  
 
______________________________________________________________________________  
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***  
______________________________________________________________________________  
 
......Scanning for file(s)...  
*Note! The list(s) may include legitimate files!  
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 
»»»»» (*1*) »»»»» .........  
 »»Read access error(s)...  
 
 
 »»»»» (*2*) »»»»»........  
 
 »»»»» (*3*) »»»»»........  
 
No matches found.
 
unknown/hidden files...  
 
C:\WINNT\SYSTEM32\
   lkewh.dll      Sat 31 Jul 2004   1:13:20   A.SH.         56 832    55,50 K
   rvebu.dll      Sun 22 Aug 2004  12:04:16   A.SH.         56 832    55,50 K
   ukbkf.dll      Tue  3 Aug 2004  19:28:10   A.SH.         56 832    55,50 K
 
3 items found:  3 files, 0 directories.
   Total of file sizes:  170 496 bytes    166,50 K
 
 »»»»» (*4*) »»»»».........  
Sniffing..........  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
Sniffed -> C:\WINNT\SYSTEM32\LKEWH.DLL
Sniffed -> C:\WINNT\SYSTEM32\RVEBU.DLL
Sniffed -> C:\WINNT\SYSTEM32\UKBKF.DLL
SNiF 1.34 statistics
 
 Matching files       :     3     Amount in bytes   : 170496
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
 
 »»»»»(*5*)»»»»»  
 
 »»»»»(*6*)»»»»»  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
»»»»»Search by size...  
*List of files and  specs according to 'size' :  
*Note: Not all files listed here are infected, but *may include* the  
name and spces of the offending file...  
___________________________________________________________________________  
Path:   C:\WINNT\SYSTEM32                                      Including: *.DLL
 
654.   Multisz     Dll        57,344      . . . . .         5-09-04    12:43 am
 
____________________________________________________________________________  
*By size and date...  
 
 
C:\WINNT\SYSTEM32\
   multisz.dll    Sun  9 May 2004   0:43:52   .....         57 344    56,00 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  57 344 bytes     56,00 K
 
No matches found.
 
No matches found.
 
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
Sniffed -> C:\WINNT\SYSTEM32\MULTISZ.DLL
SNiF 1.34 statistics
 
 Matching files       :     1     Amount in bytes   : 57344
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.
 
SNiF 1.34 statistics
 
 Matching files       :     0     Amount in bytes   : 0
 Directories searched :     1     Commands executed : 0
 
 Masks sniffed for: *.DLL  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 
 
BHO search and other files...  
 
 
 
No matches found.
 
No matches found.
 
--*sp.html in temp folder was NOT FOUND!--  
 
*Filter keys search...  
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)
 
--(*text/html Subkey was NOT FOUND!)--  
 
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)
 
--(*text/plain Subkey was NOT FOUND!)--  
 
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»  
 »»Size of Windows key:  
 (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)  
 
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 398
 
»»Checking for AppInit_DLLs (empty) value...  
________________________________  
!"AppInit_DLLs"=""!  
 
Value does not exist
________________________________  
 
»»Comparing *saved* key with *original*...  
 
REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)
 
Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).
 
No differences found.
 
 »»Dumping Values........  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =  
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
 
  »»Security settings for 'Windows' key:  
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read         BUILTIN\Utilisateurs
(IO)    ALLOW  Read         BUILTIN\Utilisateurs
(NI)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(IO)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  BUILTIN\Administrateurs
(NI)    ALLOW  Full access  AUTORITE NT\SYSTEM
(IO)    ALLOW  Full access  AUTORITE NT\SYSTEM
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  CREATEUR PROPRIETAIRE
 
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read           BUILTIN\Utilisateurs
Read           BUILTIN\Utilisateurs avec pouvoir
Full access    BUILTIN\Administrateurs
Full access    AUTORITE NT\SYSTEM
 
 
 
»»Performing string scan....  
00001150:                        ?                                        
00001190:                                            H   x                
000011D0:    vk                  DeviceNotSelectedTimeout    1 5     P    
00001210:p           vk       '         XGDIProcessHandleQuota Ph    vk  
00001250:    h           Spooler     y e s           vk                  
00001290:swapdisk    vk                  TransmissionRetryTimeout    9 0  
000012D0:    0       vk       '         @USERProcessHandleQuota h        
00001310:                                                                
00001350:                                                                
00001390:                                                                
000013D0:                                                                
00001410:                                                                
00001450:                                                                
00001490:                                                                
000014D0:                                                                
00001510:                                                                
00001550:                                                                
00001590:                                                                
000015D0:                                                                
 
---------- WIN.TXT
--------------  
--------------  
$011E8: DeviceNotSelectedTimeout
$0122F: XGDIProcessHandleQuota
$012B0: TransmissionRetryTimeout
$012F0: USERProcessHandleQuota
--------------  
--------------  
No strings found.
 
--------------  
--------------  
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
 
.............  
A handle was successfully obtained for the  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value entry was NOT found!
-----------------------  
 
»»»»»»Backups list...»»»»»»  
 21:21:29  up 0 days, 0:16:36
-----------------------  
Thu 02 Sep 04  21:21:29
 
 
C:\FINDNFIX\
   keyback.hiv    Thu  2 Sep 2004  21:20:06   A....          8 192     8,00 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  8 192 bytes      8,00 K
 
C:\FINDNFIX\KEYS1\
   winkey.reg     Thu  2 Sep 2004  21:20:06   A....            268     0,26 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  268 bytes      0,26 K
 
*Temp backups...  
 
"C:\Documents and Settings\Administrateur\Local Settings\Temp\Backs2\"
keyback2.hi_   2 Sep 2004        8192  "keyback2.hi_"
winkey2.re_    2 Sep 2004         268  "winkey2.re_"
 
2 items found:  2 files, 0 directories.
   Total of file sizes:  8 460 bytes      8,26 K
-D---- JUNKXXX      00000000 21:20.06 02/09/2004
A----- STARTIT .BAT 00000060 21:20.06 02/09/2004
 
________________________________________________________________________________  
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'  
 AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!  
MINIMAL REQUIREMENTS INCLUDE:  
_________XP HOME/PRO; SP1; IE6/SP1  
_________2K/SP4; IE6/SP1  
________________________________________________________________________________  
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»  
-----END------  
Thu 02 Sep 04  21:21:31


Reply

Marsh Posté le 02-09-2004 à 21:54:36    


Trois d'un coup, plus une ailleurs!  :D ...original!  :lol:  
 
On va tenter de les neutraliser.
 
Télécharger APM sur:
http://www.diamondcs.com.au/index.php?page=apm
Le laissser en attente. Ne pas redémarrer.
Par contre fermer toutes les fenêtres et en particulier fermer internet explorer.
 
---------------1
ControlAltSuppr
Terminer les processus:
apizb32.exe  
wined.exe  
 
----------------2
Lancer HijackThis.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ukbkf.dll/sp.html#29126  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {04104256-BA73-C0D8-F288-020B824121D2} - C:\WINNT\mfcnd32.dll  
O4 - HKLM\..\Run: [wined.exe] C:\WINNT\wined.exe  
 
Cocher ces lignes et cliquer "Fix checked".
 
----------------------3
 
Lancer APM.
 
Dans la fenêtre supérieure, sélectionner "explorer.exe"
 
Regarde dans la liste qui s'affiche dans la fenêtre inférieure s'il y a:
 
C:\WINNT\SYSTEM32\LKEWH.DLL  
C:\WINNT\SYSTEM32\RVEBU.DLL  
C:\WINNT\SYSTEM32\UKBKF.DLL  
C:\WINNT\SYSTEM32\MULTISZ.DLL
 
A chaque fois que tu en trouves une, sélectionne-la, fais un clic droit et approuve "Unload dll"->Ok.
 
Redémarre. Fais un nettoyage par exemple avec Ad-Aware SE.
 
Redémarre de nouveau. Poste un nouvel HijackThis.
Si jamais ces lignes sont toujours là, il faudra rechercher si un nouveau service n'a pas été créé.  
 
 
 
 

Reply

Marsh Posté le 03-09-2004 à 17:22:26    

J'ai eu ce problème aussi! Télécharge Spybot - Search & Destroy et lance le il va t'enlever cette merde.

Reply

Marsh Posté le 03-09-2004 à 18:30:28    

SurfingJoe a écrit :

J'ai eu ce problème aussi! Télécharge Spybot - Search & Destroy et lance le il va t'enlever cette merde.


 
Il ne les trouvera pas.

Reply

Marsh Posté le 04-09-2004 à 15:45:22    

Bon j'ai fait tout ce que tu m'a dit mais :
 
apizb32.exe ne peut se terminer, sur APM il n'y avait pas ces *.dll et voici le rapport Hijackthis :
Logfile of HijackThis v1.98.2
Scan saved at 15:53:04, on 04/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\apizb32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\USB Card Reader Driver v1.9b\Disk_Monitor.exe
C:\WINNT\wined.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\Antimerde\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\clyou.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1322535D-FEAC-7B35-C95B-E4EEBA8E6228} - C:\WINNT\ntlk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\\USB Card Reader Driver v1.9b\Disk_Monitor.exe
O4 - HKLM\..\Run: [wined.exe] C:\WINNT\wined.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [Srnr] C:\Documents and Settings\Administrateur\Application Data\lmce.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83C15D72-7D43-4E75-904D-F535F294A00D}: NameServer = 80.10.246.130 80.10.246.3
 

Reply

Marsh Posté le 04-09-2004 à 16:14:11    


Salut!
 
Il y a qq chose qui ne va pas. Par exemple ce fichier : C:\WINNT\wined.exe ne devrait pas réapparaître une fois supprimé. A la limite, que le trojan en recrée un autre, ce serait possible, mais il aurait un nom différent, comme ça s'est produit entre le 1er et le 2nd rapport.
 
J'hésite entre:
-un passage en force avec un outil comme "TheKillBox" et tenter de décaniller franchement apizb32.exe.
-recommencer la procédure du début.
 
------------------
 
Ecoute, dans un premier temps, on va réexaminer les services. Voir s'il n'y en a pas un nouveau qui a été créé.
S'il y en a un nouveau, on recommencera du début. Sinon, on éliminera les fichiers au reboot.
 
Donc c'est ça:

Citation :

Télécharger ce petit programme qui nous donnera la liste  
des services :  
 
http://d21c.com/Tom41/get_active_services_179_161.zip  
 
Le poser sur le bureau.  
Le lancer.  
Copier/coller le fichier texte qui apparaît.


 
Attention à bien copier/coller le rapport ENTIER car souvent, il est à la fin.
 
 
 

Reply

Marsh Posté le 04-09-2004 à 16:41:53    

et voila :
 
These are the Current Active Services:
 
 EXPLORATEUR D'ORDINATEUR: Browser
C:\WINNT\System32\services.exe
 
 CLIENT DHCP: Dhcp
C:\WINNT\System32\services.exe
 
 GESTIONNAIRE DE DISQUE LOGIQUE: dmserver
C:\WINNT\System32\services.exe
 
 CLIENT DNS: Dnscache
C:\WINNT\System32\services.exe
 
 JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINNT\system32\services.exe
 
 SERVEUR: lanmanserver
C:\WINNT\System32\services.exe
 
 STATION DE TRAVAIL: lanmanworkstation
C:\WINNT\System32\services.exe
 
 SERVICE D'APPLICATION D'ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINNT\System32\services.exe
 
 PLUG-AND-PLAY: PlugPlay
C:\WINNT\system32\services.exe
 
 EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINNT\system32\services.exe
 
 SERVICE D'EXÉCUTION PAR DÉLÉGATION: seclogon
C:\WINNT\system32\services.exe
 
 CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWks
C:\WINNT\system32\services.exe
 
 EXTENSIONS DU PILOTE WMI: Wmi
C:\WINNT\system32\Services.exe
 
 SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystem
C:\WINNT\System32\svchost.exe -k netsvcs
 
 CONNEXIONS RÉSEAU: Netman
C:\WINNT\System32\svchost.exe -k netsvcs
 
 MÉDIAS AMOVIBLES: NtmsSvc
C:\WINNT\System32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasMan
C:\WINNT\System32\svchost.exe -k netsvcs
 
 NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENS
C:\WINNT\system32\svchost.exe -k netsvcs
 
 TÉLÉPHONIE: TapiSrv
C:\WINNT\System32\svchost.exe -k netsvcs
 
 LEXBCE SERVER: LexBceS
C:\WINNT\system32\LEXBCES.EXE
 
 NETWORK SECURITY SERVICE (NSS): O?’ŽrtñåȲ$Ó
C:\WINNT\apizb32.exe /s
 
 AGENT DE STRATÉGIE IPSEC: PolicyAgent
C:\WINNT\System32\lsass.exe
 
 GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINNT\system32\lsass.exe
 
 SERVICE D'ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINNT\system32\regsvc.exe
 
 APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINNT\system32\svchost -k rpcss
 
 PLANIFICATEUR DE TÂCHES: Schedule
C:\WINNT\system32\MSTask.exe
 
 SPOULEUR D'IMPRESSION: Spooler
C:\WINNT\system32\spoolsv.exe
 
 STILL IMAGE SERVICE: StiSvc
C:\WINNT\system32\stisvc.exe
 
 INFRASTRUCTURE DE GESTION WINDOWS: WinMgmt
C:\WINNT\System32\WBEM\WinMgmt.exe
 
 WMDM PMSP SERVICE: WMDM PMSP Service
C:\WINNT\system32\mspmspsv.exe
 
 MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINNT\system32\svchost.exe -k wugroup

Reply

Marsh Posté le 04-09-2004 à 16:49:08    

Pour que ça ne se reproduise plus, ne clique plus sur oui sur les sites pornos.
 
Vu les lignes :  
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11984.kit.carpediem.fr/FanClara.exe  
O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://www.sado-x.com/acces/257/sado-x.exe  


Message édité par Mattusud13 le 04-09-2004 à 16:49:21
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed