Analyse log hijackthis - cheval de troie

NADIR2 · Janvier 3, 2006, 9:02

bonjour a tous

quelqu’un pourrait-il m’aider je suis infecté par un trojan je crois
ma page de démarage internet a été modifié et je n’arrive pas a la remettre meme par le menu option internet

voici mon log hijack

Logfile of HijackThis v1.99.1
Scan saved at 08:53:12, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmListen.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\TEMP\BRE3C3.EXE
C:\Program Files\AniTa\Anita.exe
C:\Program Files\Outlook Express\MSIMN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\BABOU~1.NAD\MESDOC~1\ENREGA\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {7ABB5618-2A96-CDEF-D9AD-7FE2D24D6347} - C:\WINDOWS\system32\winqy32.dll
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\…\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\…\Run: [winqy32.exe] C:\WINDOWS\system32\winqy32.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cambridge-lee.fr
O17 - HKLM\Software\…\Telephony: DomainName = cambridge-lee.fr
O17 - HKLM\System\CCS\Services\Tcpip\…\{7F162F7B-3527-4F22-B84E-342A3FF9AB1B}: NameServer = 192.168.1.3,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cambridge-lee.fr
O17 - HKLM\System\CS1\Services\Tcpip\…\{7F162F7B-3527-4F22-B84E-342A3FF9AB1B}: NameServer = 192.168.1.3,194.2.0.20,194.2.0.50
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\NTRtScan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmListen.exe

merci de votre aide

pierrejean_1_1 · Janvier 3, 2006, 9:19

:hello:
A effacer imperativement
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fxcex.dll/sp.html#88449%resultposition.net
R3 - Default URLSearchHook is missing

O4 - HKLM\…\Run: [winqy32.exe] C:\WINDOWS\system32\winqy32.exe
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d’un troyen. Pour être certain, vous devriez contrôler ce fichier.

pour evaluer les logs voir ici:
http://hijackthis.de/index.php?langselect=french

NADIR2 · Janvier 3, 2006, 11:03

bonjour

j’ai déja supprimé ces lignes mais elles réapparaissent toujours avec un fichier “…”.dll toujours différent

j’ai fait un scan avec adaware il me détecte VX2 donc j’ai installé le VX2CLEANER
pour adaware mais quand je le lance il me dit que mon systeme est clean

je ne comprend plus rien

je vais refaire une analyse de mon log et je vous l’envoie

merci d’avance pour vos réponse

NADIR2 · Janvier 3, 2006, 11:16

salut encore moi

donc j’ai supprimé les lignes que tu m’a dis, j’ai fait un scan avec adaware il m’a encore détecté VX2, je l’ai supprimé

ensuite j’ai redémarré et voici mon nouveau log

Logfile of HijackThis v1.99.1
Scan saved at 11:12:53, on 03/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmListen.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\iptt32.exe
C:\WINDOWS\TEMP\LHA400.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\netpa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AniTa\Anita.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\BABOU~1.NAD\MESDOC~1\ENREGA\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {7ABB5618-2A96-CDEF-D9AD-7FE2D24D6347} - C:\WINDOWS\system32\winqy32.dll
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\…\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\…\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\…\Run: [sdkvp.exe] C:\WINDOWS\system32\sdkvp.exe
O4 - HKLM\…\Run: [addvo.exe] C:\WINDOWS\addvo.exe
O4 - HKLM\…\Run: [netpa.exe] C:\WINDOWS\system32\netpa.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cambridge-lee.fr
O17 - HKLM\Software\…\Telephony: DomainName = cambridge-lee.fr
O17 - HKLM\System\CCS\Services\Tcpip\…\{7F162F7B-3527-4F22-B84E-342A3FF9AB1B}: NameServer = 192.168.1.3,194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cambridge-lee.fr
O17 - HKLM\System\CS1\Services\Tcpip\…\{7F162F7B-3527-4F22-B84E-342A3FF9AB1B}: NameServer = 192.168.1.3,194.2.0.20,194.2.0.50
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\iptt32.exe" /s (file missing)
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\NTRtScan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmListen.exe

et oui encore le bordel

heeeeelp me

merci

westernunion · Janvier 3, 2006, 3:49

:hello: hiaaa! :pt1cable:

Avant de traiter le log - arrêter ce processus
Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\iptt32.exe" /s
Via la Console des Services

Démarrer->exécuter->tape: services.msc

recherche --> Service: [Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I)]
"Chemin d’accès des fichiers>>C:\WINDOWS\iptt32.exe" /s
*Type de démarrage --> sur Désactiver
*Statut du Service–> Arrêter
Valide/OK

========= ============ ============= ===========

C:\WINDOWS<–localisation\iptt32.exe
C:\WINDOWS\addvo.exe
C:\WINDOWS\system32<-- localisation\netpa.exe
C:\WINDOWS\system32\sdkvp.exe

A rechercher et supprimer si encore présents après les fix dans le log

fixed checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aeudf.dll/sp.html#88449%resultposition.net
Avant de fixer ces lignes télécharger puis utiliser About:Buster 6.0
http://www.majorgeeks.com/download4289.html

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {7ABB5618-2A96-CDEF-D9AD-7FE2D24D6347} - C:\WINDOWS\system32\winqy32.dll

O4 - HKLM\…\Run: [sdkvp.exe] C:\WINDOWS\system32\sdkvp.exe
O4 - HKLM\…\Run: [addvo.exe] C:\WINDOWS\addvo.exe
O4 - HKLM\…\Run: [netpa.exe] C:\WINDOWS\system32\netpa.exe

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\iptt32.exe" /s (file missing)

télécharger

About:Buster 6.0 - à dézipper et mettre en raccourci sur le Bureau
Ewido + mise à jour base virale
http://www.ewido.net/en/download/
CCleaner
/!\ décoche l’option : vider la Corbeille
http://www.ordi-netfr.com/ccleaner.php

======= ============= ================== =========

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

3) passe en mode sans échec
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

Lancer About.Buster
. Clic sur Begin Removal
. Le scan s’exécute
. Refait un 2ème scan (impératif!)
. Poste le rapport ici
Lancer Ewido et scan - sauvegarder le log/texte et le copier ici
Re-Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main) et fixed

Fermer Hijack

Ouvrir l’Explorateur Windows et rechercher/supprimer les fichiers infectés
Redémarrer en mode normal
Lancer CCleaner >> Nettoyage complet
/!\ Réactiver la restauration système et recacher les fichiers système (1) & (2)
Reposter un nouveau log Hijack + la Sauvegarde d’Ewido + le rapport About.Buster
y’a pas de 12 :whistle:

édit : à quoi ça sert ça ?
C:\Program Files\AniTa\Anita.exe

NADIR2 · Janvier 4, 2006, 8:11

bonjour a tous
merci pour votre aide, je suis enfin débarrassé de ce p… de virus a la c…
je suis pas sur mais je crois que c’est grace a édwido mon log est clean maintenant

je vous remerci pour votre aide