Bjr à tous,
Après moultes recherches et ne trouvant pas de solution, peut être ici
trouverais je de quoi éclairer ma lanterne, j'explique....
Config : XP SP2 avec les mises à jour y tout y tout, NAV, Spybot 1.4
Fin Décembre je recoit un mail émanant (a priori) de l'un de mes collégues,
très méfiant vu la taille du mail, genre 10Ko, mais ce dernier étant absent
je me dit "bon ouvre le quand meme on sait jamais !!!" mal m'en a pris j'ai
ouvert une de ces cochonneries qui foisonne .... résultat plus de connection
possible vers le monde exter. et ralentissement invivable de ma bécanne.
Ayant d'autre chat à fouetter, j'ai laissé courrir qq temps.
Ces derniers jours je replonge dessus ...
Je virre NAV qui deviens de plus en plus lourd et de moins en moins efficace
au profit de KASPERSKY5 qui effectivement me retrouve 3 / 4 salouperies
nettoyage du registre
Passage de différent produit genre : JV16, REGSEEKER, TUNEUP2006, etc...
Depouillage des alertes virales de SYMANTEC avec consultation des clès de
registre incriminées
Malgré tous ces efforts toute connection via IE6, MSN et la recherche via
EXPLORER plante lamentablement, je vous passe le délire des mise à jour XP
en mode mode manuel puisque impossible de lancer IE6.
A l'heure actuel ma bécanne semble propre (aucun appel disque intempestif,
pas de réel trafic ethernet impromptu)
Toutefois impossible de me servir d'IE6 (donc des mise à jour XP) d'MSN et
de la recherche via EXPLOREUR.
Parcontre les mails via OUTLOOK et le surf via FIREFOX ... OK
Visiblement il doit y avoir une inscription "quasi clean" sur l'une des clès
de registre qui doit généré un dénni de service pour les outils MICROSOFT
énumérés plus haut.... MAIS OU EST ELLE cette chienne ?????????
Si qq'un à une idée voire une solution ..... suis preneur
Bjr à tous,
Après moultes recherches et ne trouvant pas de solution, peut être ici
trouverais je de quoi éclairer ma lanterne, j'explique....
Config : XP SP2 avec les mises à jour y tout y tout, NAV, Spybot 1.4
Fin Décembre je recoit un mail émanant (a priori) de l'un de mes collégues,
très méfiant vu la taille du mail, genre 10Ko, mais ce dernier étant absent
je me dit "bon ouvre le quand meme on sait jamais !!!" mal m'en a pris j'ai
ouvert une de ces cochonneries qui foisonne .... résultat plus de connection
possible vers le monde exter. et ralentissement invivable de ma bécanne.
Ayant d'autre chat à fouetter, j'ai laissé courrir qq temps.
Ces derniers jours je replonge dessus ...
Je virre NAV qui deviens de plus en plus lourd et de moins en moins efficace
au profit de KASPERSKY5 qui effectivement me retrouve 3 / 4 salouperies
nettoyage du registre
Passage de différent produit genre : JV16, REGSEEKER, TUNEUP2006, etc...
Depouillage des alertes virales de SYMANTEC avec consultation des clès de
registre incriminées
Malgré tous ces efforts toute connection via IE6, MSN et la recherche via
EXPLORER plante lamentablement, je vous passe le délire des mise à jour XP
en mode mode manuel puisque impossible de lancer IE6.
A l'heure actuel ma bécanne semble propre (aucun appel disque intempestif,
pas de réel trafic ethernet impromptu)
Toutefois impossible de me servir d'IE6 (donc des mise à jour XP) d'MSN et
de la recherche via EXPLOREUR.
Parcontre les mails via OUTLOOK et le surf via FIREFOX ... OK
Visiblement il doit y avoir une inscription "quasi clean" sur l'une des clès
de registre qui doit généré un dénni de service pour les outils MICROSOFT
énumérés plus haut.... MAIS OU EST ELLE cette chienne ?????????
Si qq'un à une idée voire une solution ..... suis preneur
Bjr à tous,
Après moultes recherches et ne trouvant pas de solution, peut être ici
trouverais je de quoi éclairer ma lanterne, j'explique....
Config : XP SP2 avec les mises à jour y tout y tout, NAV, Spybot 1.4
Fin Décembre je recoit un mail émanant (a priori) de l'un de mes collégues,
très méfiant vu la taille du mail, genre 10Ko, mais ce dernier étant absent
je me dit "bon ouvre le quand meme on sait jamais !!!" mal m'en a pris j'ai
ouvert une de ces cochonneries qui foisonne .... résultat plus de connection
possible vers le monde exter. et ralentissement invivable de ma bécanne.
Ayant d'autre chat à fouetter, j'ai laissé courrir qq temps.
Ces derniers jours je replonge dessus ...
Je virre NAV qui deviens de plus en plus lourd et de moins en moins efficace
au profit de KASPERSKY5 qui effectivement me retrouve 3 / 4 salouperies
nettoyage du registre
Passage de différent produit genre : JV16, REGSEEKER, TUNEUP2006, etc...
Depouillage des alertes virales de SYMANTEC avec consultation des clès de
registre incriminées
Malgré tous ces efforts toute connection via IE6, MSN et la recherche via
EXPLORER plante lamentablement, je vous passe le délire des mise à jour XP
en mode mode manuel puisque impossible de lancer IE6.
A l'heure actuel ma bécanne semble propre (aucun appel disque intempestif,
pas de réel trafic ethernet impromptu)
Toutefois impossible de me servir d'IE6 (donc des mise à jour XP) d'MSN et
de la recherche via EXPLOREUR.
Parcontre les mails via OUTLOOK et le surf via FIREFOX ... OK
Visiblement il doit y avoir une inscription "quasi clean" sur l'une des clès
de registre qui doit généré un dénni de service pour les outils MICROSOFT
énumérés plus haut.... MAIS OU EST ELLE cette chienne ?????????
Si qq'un à une idée voire une solution ..... suis preneur
Bjr et merci pour la réponse
Bon Ok j'avais fait court dans l'explication.....
Donc quand j'ai dit "j'ai laissé tomber" ....ok .... mais ordi.
coupé... histoire de limiter le risque de propagation ;-)
Quant aux scan, défrag. et autres que j'avais déjà fait .... RAS
Petite précision .... à l'origine suite à cette attaque je me suis
retrouvé dans la situation de ne plus avoir aucune possibilité de
connection tant pour le surf que pour les mails ou les mise à jour
antivirus.
Après le cycle "prélavage-lavage à 60°-rincage" effectué avec les
différents outils énumérés, j'ai reussi à rétablir une connection
(plus ou moins fiable) vers le monde exterieur.
Autre précision amusante (quoi que ....) la faculté de me retrouver
avec un accès reseau Ethernet planté m'obligeant a redemarrer "La
Chose" avec au moment de l'extinction la fenetre caractéristique de
Windows "Mise à jour avant extinction automatique, veuillez
patienter" !?!?!
Pour ce qui me fait penser (peut etre à tort) à une cochonnerie du
genre "déni de service" c'est le lancement de Windows Update, IE se
lance bien, dans la barre de tache en bas à gauche je vois bien
défiler les différents routages de connection au site et puis au
moment de lancer l'affichage de la page d'accueil ca bloque ... plus
rien (avec le petit message "le programme ne repond pas" et si je
clique sur le rafraichissement de page et bien sa ferme la page ....
terminé point barre !!! (caractérielle la bestiol), le comportement
est globalement idem avec MSN la page se lance je me connecte et puis
plus rien (affichage de "le programme ne repond pas") et bout de qq
secondes la page se ferme toute seule.
Bref que du bonheur !!! m'en vas reprendre le bon vieux stylo et la
gomme moa !!!
vous trouverez le log d'Hijack ci-après :
Logfile of HijackThis v1.99.1
Scan saved at 17:06:34, on 27/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1DelFaxWFXSWTCH.exe
C:WINDOWSsystem32CAPRPCSK.EXE
C:WINDOWStppaldr.exe
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
C:Program FilesWinampwinampa.exe
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesBelkinBelkin 802.11g Wireless PCI Card Configuration
Utilityutility.exe
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32SLEE401.exe
C:Program FilesMicrosoft ActiveSyncWCESMgr.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMicrosoft OfficeOfficeOUTLOOK.EXE
C:WINDOWSsystem32wuauclt.exe
C:Program FilesOutlook Expressmsimn.exe
C:TelechargementnettoyageHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page > http://www.voila.fr
R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = R3 - Default URLSearchHook is
missing
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll O2 - BHO: (no
name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O4 - HKLM..Run: [CAPON]
C:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE
O4 - HKLM..Run: [WFXSwtch] C:PROGRA~1DelFaxWFXSWTCH.exe
O4 - HKLM..Run: [TPP Auto Loader] C:WINDOWStppaldr.exe
O4 - HKLM..Run: [SpybotSnD] "C:Program FilesSpybot - Search &
DestroySpybotSD.exe" /autofix /autoclose
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog
DevicesSoundMAXSMTray.exe
O4 - HKLM..Run: [jv16PT - Privacy Protector] C:Program Filesjv16
PowerTools 2005jv16PT.exe -ExecTask "C:Program Filesjv16 PowerTools
2005Tasks_PrivacyProtectorTask.jvb"
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot -
Search & DestroyTeaTimer.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration
Utility.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: Interface Chat Voila -
http://chat4.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl
Class) -
https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {4066622E-15E6-11D4-921C-0000C0E68AEB} (VCnt3Ctrl Class) -
http://www.bangkok-cctv.com/VideoClient.cab O16 - DPF:
{4FDF3696-5078-4952-868C-CEEB9683B8C4} (DownloadFile
Control) - http://81.86.29.25/cab/DownloadFile.cab
O16 - DPF: {5496DB06-4AE0-11D5-9242-0050BAA44844} (ImageCtrl Control)
- http://192.168.50.53/main/control/download.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093512368722
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks
SSLTunnel) -
https://sas.u-psud.fr/vdesk/terminal/urTermProxy.cab#versionT00,0,50412,1
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 -
DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI
Registry Information Class) -
http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks
SuperHost Class) -
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host
Control) -
https://sas.u-psud.fr/vdesk/terminal/urxhost.cab#versionT00,0,50316,1
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control
4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 -
HKLMSystemCCSServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{41F54815-B2AE-4B4B-980A-620F7D4D3512}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{6ACED835-0FB9-4BD5-A283-881EFAAB13AE}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{945C2C97-3870-42B6-9750-169BBD9C7689}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{BCF632A2-BD28-436A-BA6F-E7A65452142C}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS1ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS2ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS3ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: hsp - {8D32BA61-D15B-11D4-894B-000000000000} -
C:WINDOWSSystem32hsppp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: PCANotify - C:WINDOWSSYSTEM32PCANotify.dll
O23 - Service: Apache - Unknown owner - C:Program FilesWeb Service
for Surveillance SystemApache.exe" --ntservice (file missing)
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSYSTEM32GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service]
(SLEE_401_SERVICE) - Unknown owner - C:WINDOWSSystem32SLEE401.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service
(default)) - Analog Devices, Inc. - C:Program FilesAnalog
DevicesSoundMAXSMAgent.exe O23 - Service: Speed Disk service -
Symantec Corporation - C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe O23 - Service: TuneUp WinStyler Theme Service
(TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities
2006WinStylerThemeSvc.exe
Si une idée lumineuse traverse votre esprit :-) je suis preneur
(enfin si c'est pour formater le disque...bof bof !!!)
Merci d'avance
Bjr et merci pour la réponse
Bon Ok j'avais fait court dans l'explication.....
Donc quand j'ai dit "j'ai laissé tomber" ....ok .... mais ordi.
coupé... histoire de limiter le risque de propagation ;-)
Quant aux scan, défrag. et autres que j'avais déjà fait .... RAS
Petite précision .... à l'origine suite à cette attaque je me suis
retrouvé dans la situation de ne plus avoir aucune possibilité de
connection tant pour le surf que pour les mails ou les mise à jour
antivirus.
Après le cycle "prélavage-lavage à 60°-rincage" effectué avec les
différents outils énumérés, j'ai reussi à rétablir une connection
(plus ou moins fiable) vers le monde exterieur.
Autre précision amusante (quoi que ....) la faculté de me retrouver
avec un accès reseau Ethernet planté m'obligeant a redemarrer "La
Chose" avec au moment de l'extinction la fenetre caractéristique de
Windows "Mise à jour avant extinction automatique, veuillez
patienter" !?!?!
Pour ce qui me fait penser (peut etre à tort) à une cochonnerie du
genre "déni de service" c'est le lancement de Windows Update, IE se
lance bien, dans la barre de tache en bas à gauche je vois bien
défiler les différents routages de connection au site et puis au
moment de lancer l'affichage de la page d'accueil ca bloque ... plus
rien (avec le petit message "le programme ne repond pas" et si je
clique sur le rafraichissement de page et bien sa ferme la page ....
terminé point barre !!! (caractérielle la bestiol), le comportement
est globalement idem avec MSN la page se lance je me connecte et puis
plus rien (affichage de "le programme ne repond pas") et bout de qq
secondes la page se ferme toute seule.
Bref que du bonheur !!! m'en vas reprendre le bon vieux stylo et la
gomme moa !!!
vous trouverez le log d'Hijack ci-après :
Logfile of HijackThis v1.99.1
Scan saved at 17:06:34, on 27/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1DelFaxWFXSWTCH.exe
C:WINDOWSsystem32CAPRPCSK.EXE
C:WINDOWStppaldr.exe
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
C:Program FilesWinampwinampa.exe
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesBelkinBelkin 802.11g Wireless PCI Card Configuration
Utilityutility.exe
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32SLEE401.exe
C:Program FilesMicrosoft ActiveSyncWCESMgr.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMicrosoft OfficeOfficeOUTLOOK.EXE
C:WINDOWSsystem32wuauclt.exe
C:Program FilesOutlook Expressmsimn.exe
C:TelechargementnettoyageHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page > http://www.voila.fr
R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = R3 - Default URLSearchHook is
missing
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll O2 - BHO: (no
name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O4 - HKLM..Run: [CAPON]
C:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE
O4 - HKLM..Run: [WFXSwtch] C:PROGRA~1DelFaxWFXSWTCH.exe
O4 - HKLM..Run: [TPP Auto Loader] C:WINDOWStppaldr.exe
O4 - HKLM..Run: [SpybotSnD] "C:Program FilesSpybot - Search &
DestroySpybotSD.exe" /autofix /autoclose
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog
DevicesSoundMAXSMTray.exe
O4 - HKLM..Run: [jv16PT - Privacy Protector] C:Program Filesjv16
PowerTools 2005jv16PT.exe -ExecTask "C:Program Filesjv16 PowerTools
2005Tasks_PrivacyProtectorTask.jvb"
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot -
Search & DestroyTeaTimer.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration
Utility.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: Interface Chat Voila -
http://chat4.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl
Class) -
https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {4066622E-15E6-11D4-921C-0000C0E68AEB} (VCnt3Ctrl Class) -
http://www.bangkok-cctv.com/VideoClient.cab O16 - DPF:
{4FDF3696-5078-4952-868C-CEEB9683B8C4} (DownloadFile
Control) - http://81.86.29.25/cab/DownloadFile.cab
O16 - DPF: {5496DB06-4AE0-11D5-9242-0050BAA44844} (ImageCtrl Control)
- http://192.168.50.53/main/control/download.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093512368722
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks
SSLTunnel) -
https://sas.u-psud.fr/vdesk/terminal/urTermProxy.cab#versionT00,0,50412,1
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 -
DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI
Registry Information Class) -
http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks
SuperHost Class) -
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host
Control) -
https://sas.u-psud.fr/vdesk/terminal/urxhost.cab#versionT00,0,50316,1
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control
4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 -
HKLMSystemCCSServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{41F54815-B2AE-4B4B-980A-620F7D4D3512}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{6ACED835-0FB9-4BD5-A283-881EFAAB13AE}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{945C2C97-3870-42B6-9750-169BBD9C7689}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{BCF632A2-BD28-436A-BA6F-E7A65452142C}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS1ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS2ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS3ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: hsp - {8D32BA61-D15B-11D4-894B-000000000000} -
C:WINDOWSSystem32hsppp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: PCANotify - C:WINDOWSSYSTEM32PCANotify.dll
O23 - Service: Apache - Unknown owner - C:Program FilesWeb Service
for Surveillance SystemApache.exe" --ntservice (file missing)
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSYSTEM32GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service]
(SLEE_401_SERVICE) - Unknown owner - C:WINDOWSSystem32SLEE401.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service
(default)) - Analog Devices, Inc. - C:Program FilesAnalog
DevicesSoundMAXSMAgent.exe O23 - Service: Speed Disk service -
Symantec Corporation - C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe O23 - Service: TuneUp WinStyler Theme Service
(TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities
2006WinStylerThemeSvc.exe
Si une idée lumineuse traverse votre esprit :-) je suis preneur
(enfin si c'est pour formater le disque...bof bof !!!)
Merci d'avance
Bjr et merci pour la réponse
Bon Ok j'avais fait court dans l'explication.....
Donc quand j'ai dit "j'ai laissé tomber" ....ok .... mais ordi.
coupé... histoire de limiter le risque de propagation ;-)
Quant aux scan, défrag. et autres que j'avais déjà fait .... RAS
Petite précision .... à l'origine suite à cette attaque je me suis
retrouvé dans la situation de ne plus avoir aucune possibilité de
connection tant pour le surf que pour les mails ou les mise à jour
antivirus.
Après le cycle "prélavage-lavage à 60°-rincage" effectué avec les
différents outils énumérés, j'ai reussi à rétablir une connection
(plus ou moins fiable) vers le monde exterieur.
Autre précision amusante (quoi que ....) la faculté de me retrouver
avec un accès reseau Ethernet planté m'obligeant a redemarrer "La
Chose" avec au moment de l'extinction la fenetre caractéristique de
Windows "Mise à jour avant extinction automatique, veuillez
patienter" !?!?!
Pour ce qui me fait penser (peut etre à tort) à une cochonnerie du
genre "déni de service" c'est le lancement de Windows Update, IE se
lance bien, dans la barre de tache en bas à gauche je vois bien
défiler les différents routages de connection au site et puis au
moment de lancer l'affichage de la page d'accueil ca bloque ... plus
rien (avec le petit message "le programme ne repond pas" et si je
clique sur le rafraichissement de page et bien sa ferme la page ....
terminé point barre !!! (caractérielle la bestiol), le comportement
est globalement idem avec MSN la page se lance je me connecte et puis
plus rien (affichage de "le programme ne repond pas") et bout de qq
secondes la page se ferme toute seule.
Bref que du bonheur !!! m'en vas reprendre le bon vieux stylo et la
gomme moa !!!
vous trouverez le log d'Hijack ci-après :
Logfile of HijackThis v1.99.1
Scan saved at 17:06:34, on 27/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1DelFaxWFXSWTCH.exe
C:WINDOWSsystem32CAPRPCSK.EXE
C:WINDOWStppaldr.exe
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
C:Program FilesWinampwinampa.exe
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesBelkinBelkin 802.11g Wireless PCI Card Configuration
Utilityutility.exe
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSYSTEM32GEARSEC.EXE
C:Program FilesWeb Service for Surveillance SystemApache.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32SLEE401.exe
C:Program FilesMicrosoft ActiveSyncWCESMgr.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMicrosoft OfficeOfficeOUTLOOK.EXE
C:WINDOWSsystem32wuauclt.exe
C:Program FilesOutlook Expressmsimn.exe
C:TelechargementnettoyageHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page > http://www.voila.fr
R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = R3 - Default URLSearchHook is
missing
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll O2 - BHO: (no
name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O4 - HKLM..Run: [CAPON]
C:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE
O4 - HKLM..Run: [WFXSwtch] C:PROGRA~1DelFaxWFXSWTCH.exe
O4 - HKLM..Run: [TPP Auto Loader] C:WINDOWStppaldr.exe
O4 - HKLM..Run: [SpybotSnD] "C:Program FilesSpybot - Search &
DestroySpybotSD.exe" /autofix /autoclose
O4 - HKLM..Run: [KAVPersonal50] "C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog
DevicesSoundMAXSMTray.exe
O4 - HKLM..Run: [jv16PT - Privacy Protector] C:Program Filesjv16
PowerTools 2005jv16PT.exe -ExecTask "C:Program Filesjv16 PowerTools
2005Tasks_PrivacyProtectorTask.jvb"
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot -
Search & DestroyTeaTimer.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration
Utility.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: Interface Chat Voila -
http://chat4.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl
Class) -
https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {4066622E-15E6-11D4-921C-0000C0E68AEB} (VCnt3Ctrl Class) -
http://www.bangkok-cctv.com/VideoClient.cab O16 - DPF:
{4FDF3696-5078-4952-868C-CEEB9683B8C4} (DownloadFile
Control) - http://81.86.29.25/cab/DownloadFile.cab
O16 - DPF: {5496DB06-4AE0-11D5-9242-0050BAA44844} (ImageCtrl Control)
- http://192.168.50.53/main/control/download.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093512368722
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks
SSLTunnel) -
https://sas.u-psud.fr/vdesk/terminal/urTermProxy.cab#versionT00,0,50412,1
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
(MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 -
DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI
Registry Information Class) -
http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks
SuperHost Class) -
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host
Control) -
https://sas.u-psud.fr/vdesk/terminal/urxhost.cab#versionT00,0,50316,1
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control
4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 -
HKLMSystemCCSServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{41F54815-B2AE-4B4B-980A-620F7D4D3512}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{6ACED835-0FB9-4BD5-A283-881EFAAB13AE}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{945C2C97-3870-42B6-9750-169BBD9C7689}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCCSServicesTcpip..{BCF632A2-BD28-436A-BA6F-E7A65452142C}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS1ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS2ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O17 -
HKLMSystemCS3ServicesTcpip..{14C14939-A992-44BD-B69F-2A410B1D6F75}:
NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: hsp - {8D32BA61-D15B-11D4-894B-000000000000} -
C:WINDOWSSystem32hsppp.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: PCANotify - C:WINDOWSSYSTEM32PCANotify.dll
O23 - Service: Apache - Unknown owner - C:Program FilesWeb Service
for Surveillance SystemApache.exe" --ntservice (file missing)
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSYSTEM32GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:Program FilesKaspersky
LabKaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service]
(SLEE_401_SERVICE) - Unknown owner - C:WINDOWSSystem32SLEE401.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service
(default)) - Analog Devices, Inc. - C:Program FilesAnalog
DevicesSoundMAXSMAgent.exe O23 - Service: Speed Disk service -
Symantec Corporation - C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedSecurity
CenterSymWSC.exe O23 - Service: TuneUp WinStyler Theme Service
(TUWinStylerThemeSvc) -
TuneUp Software GmbH - C:Program FilesTuneUp Utilities
2006WinStylerThemeSvc.exe
Si une idée lumineuse traverse votre esprit :-) je suis preneur
(enfin si c'est pour formater le disque...bof bof !!!)
Merci d'avance