| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
buti
Inscrit le: 30 Jan 2006
Messages: 3
|
 Posté le: 30 Jan 2006 à 2:44 Sujet du message: Help ! infecté ou non par des virus ? |
 |
|
Bonjour
J'ai fait tourner "Silent Runners" sur mon PC et voici le resultat. Pouvez-vous m'aider à le comprendre ? Je suis nul en info ... :snif:
Merci
Buti
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Watch" = "C:\PROGRA~1\MINITEL\Watch.exe" [null data]
"windows auto update" = "msblast.exe" [file not found]
"www.hidro.4t.com " = "enbiei.exe " [file not found]
"Windowsz" = "rwnt.exe" [file not found]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
"Client Server Runtime Process" = "C:\WINDOWS\System32\csrs.exe" [file not found]
"taskbar.exe" = "C:\dm.exe" [null data]
"ihost.exe" = "C:\taskmgrs.exe" [null data]
"MS DLL Library Manager" = "C:\WINDOWS\System32\dllsys64.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1036\UNBIND.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TextPad 4\System\shellext.dll" ["Helios Software Solutions"]
UltraEdit-32\(Default) = "{b5eedee0-c06e-11cf-8c56-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ULTRAE~1\ue32ctmn.dll" [empty string]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\root\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "root" & "All Users" startup folders:
------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"WinZip Quick Pick" -> shortcut to: "C:\Program Files\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Norton Unerase Protection, NProtectService, "C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE" ["Symantec Corporation"]
sysmgr64, sysmgr64, ""C:\WINDOWS\sysmgr64.exe"" [null data]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 126 seconds, including 18 seconds for message boxes) |
|
| Revenir en haut de page |
|
 |
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 30 Jan 2006 à 10:59 Sujet du message: Re: Help ! infecté ou non par des virus ? |
|
|
Selon moi, tu ne souffre pas d'une infection importante, enfin, c'est pas la mort, toutefois certaines entrées sont à vérifier plus en profondeur et à éffacer:
| buti a écrit: |
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Watch" = "C:\PROGRA~1\MINITEL\Watch.exe" [null data]
"windows auto update" = "msblast.exe" [file not found]
"www.hidro.4t.com " = "enbiei.exe " [file not found]
"Windowsz" = "rwnt.exe" [file not found]
"Microsoft Update Machine" = "xhavwl.exe" [file not found]
"Client Server Runtime Process" = "C:\WINDOWS\System32\csrs.exe" [file not found]
"taskbar.exe" = "C:\dm.exe" [null data]
"ihost.exe" = "C:\taskmgrs.exe" [null data]
"MS DLL Library Manager" = "C:\WINDOWS\System32\dllsys64.exe" [null data]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data] |
Toujours selon mon expérience, à part la ligne du programme de MiniTel, les autres correcpondes à des infection passées ou présentes mais +/- mal nétoyées...
Vérifie si ces fichiers existent bel et bien sur le disque et effaçe-les. Après tu pourra nétoyer les clés, avec HijackThis par exemple...
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
buti
Inscrit le: 30 Jan 2006
Messages: 3
|
| Posté le: 30 Jan 2006 à 13:32 Sujet du message: |
|
|
Merci
Buti |
|
| Revenir en haut de page |
|
|
buti
Inscrit le: 30 Jan 2006
Messages: 3
|
| Posté le: 30 Jan 2006 à 13:56 Sujet du message: |
|
|
j'ai essayé d'effacer les fichiers .exe et puis j'ai lancé hijackthis. Si je comprend bien les elements que j'ai essayé de supprimer sont tj là. Coment faire pour vraiment les supprimer ?
Voici le log de HijackThis :
[color=green][Log supprimé][/color]
Merci
Buti |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 30 Jan 2006 à 14:24 Sujet du message: |
|
|
| buti a écrit: |
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) |
Quand on aura fini de nétoyer, tu me fera le plaisir de mettre ton système à jour, il temanque près de 3 ans de mises à jour, tu est vulnérable à des dizaines et des dizaines de failles... N'importequel noob pourrait te hacker en quelques minutes...
| buti a écrit: |
Running processes:
C:\WINDOWS\System32\w?nlogon.exe |
J'aime pas cette ligne, nous verrons ça plus en dessous...
| buti a écrit: |
| O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe |
Emulateur Minitel je suppose, je virerais, sauf si explicitement besoin.
| buti a écrit: |
| O4 - HKLM\..\Run: [windows auto update] msblast.exe |
Un ver, allez encore une variante, ah non, c'est l'original,... vire-moi cette saloperie du dossier système
| buti a écrit: |
| O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe |
Le même ver mais la variante G... donc aussi à virer du dossier système
| buti a écrit: |
| O4 - HKLM\..\Run: [Windowsz] rwnt.exe |
Ai pas fait de recherche, mais c'est à jeter aussi, j'en suis certain...
| buti a écrit: |
| O4 - HKLM\..\Run: [Microsoft Update Machine] xhavwl.exe |
Je connais pas, c'est pas un truc qui sonne bien, à virer du dossier système aussi...
| buti a écrit: |
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe |
Il faut aller virer ces trucs là dans C:\
| buti a écrit: |
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xhavwl.exe
O4 - HKCU\..\Run: [Ldji] C:\WINDOWS\System32\w?nlogon.exe |
Encore des trucs à virer de C:\Windows\System32 (dossier système)...
| buti a écrit: |
| O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe |
Cochonnerie à virer...
Voilà une fois que tu as cleaner tous les petits tprogrammes à la c0n, tu peux fixer les lignes sus-mentionnées...
Après tu redémarre, fait la mise à jour, et tu devrait être ok... si pas de mises à jour tu peu t'attendre à encore des infections... même soi-disant protègé...
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 30 Jan 2006 à 20:06 Sujet du message: |
|
|
Bonjour,
Pour completer la reponse de 3dmin
désactive la restauration systeme
en mode sans echec
coche puis fixe ces lignes avec hijackthis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] xhavwl.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [taskbar.exe] C:\dm.exe
O4 - HKLM\..\Run: [ihost.exe] C:\taskmgrs.exe
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xhavwl.exe
O4 - HKCU\..\Run: [Ldji] C:\WINDOWS\System32\w?nlogon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Démarrer executer tape services.msc
recherche sysmgr64 double clique dessus et a type de demarrage choisis desactivé
- Autorise l'affichage des fichiers et dossiers cachés
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
Recherche et supprime ces fichiers
C:\WINDOWS\System32\w?nlogon.exe
C:\WINDOWS\System32\csrs.exe
C:\dm.exe
C:\taskmgrs.exe
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\sysmgr64.exe
ceux ci necessiteront une recherche sur le disque dur mais devraient être dans c:\windows ou c:\windows\system32
msblast.exe
enbiei.exe
rwnt.exe
xhavwl.exe
supprime ce dossier
C:\WINDOWS\web
Vide la corbeille
redemarre en mode normal et telecharge les utilitaires adequats (Regseeker, Ccleaner ou equivalent)
et fait un nettoyage des fichiers tempporaires ainsi ques des clés de registre obsolètes
Sans oublier de remettre un log de controle
Sur ce je vous laisse car je pars demain pour une dizaine de jours.
Bonne continuation |
|
| Revenir en haut de page |
|
|
mickael44
Administrateur
Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine
|
| Posté le: 30 Jan 2006 à 20:58 Sujet du message: |
|
|
| 3dmin a écrit: |
| buti a écrit: |
| O4 - HKLM\..\Run: [windows auto update] msblast.exe |
Un ver, allez encore une variante, ah non, c'est l'original,... vire-moi cette saloperie du dossier système
|
Ca me rappelle des bons souvenir tout ca ^^, ce virus est sortie la jour de ma première connexion Internet chez moi. Autant vous dire que j'étais pour le moins "refroidit" de voir les autorité NT (ils ont une police chez Crosoft?? ^^) lancer l'arret de mon pc via un compte a rebours..... C'était mes début, il faut pas m'en vouloir ^^
Maintenant c'est shutdown -s powaaaaaaa ^^ |
|
| Revenir en haut de page |
|
|
3dmin
Administrateur
Inscrit le: 12 Sep 2004
Messages: 3426
Localisation: Brussels
|
| Posté le: 30 Jan 2006 à 22:06 Sujet du message: |
|
|
------- Parenthèse -------
J'avoue, je dois être plus précis, mais bon, je fait ce que je peux avec le temps qu'il m'est donné...
Grand merci encore une fois à Laurent pour ces réponses aussi complètes !
--- Fin de parenthèse ---
_________________
Patojiku
(c) D.T.P.C. Team, 2004-2010
"Linux, quand il plante, je l'aime quand même, Windows, même quand je l'aime, il plante..."
(c)The Patjke's Network, 1997-2010 |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
