[Virus] Trojan.Win32.Dialer.hc installé par script CMD

Le Mon, 20 Nov 2006 11:55:10 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Bonjour,

J'ai un PC sur lequel j'ai periodiquement une prise de controle des
entrees par une tierce personne ou logicielle.

- LE menu demarré s'ouvre
- l'element "Executer" est axtivé
- Une commande est execute qui a pour but de :
- Lancer CMD
- ouvrir une connection FTP sur une adresse IP
- Telecharger un executable (266.exe ou 714.exe)
- lance le fichier
- supprime le fichier.

J'ai tente une restauration complete du PC via l'image ghost fournie par
l'assembleur qui a monte le PC et je me retrouve avec le meme probleme.
J'ai eu apres instalation une information dans la barre d'icone : "Mise
a jour de FlashPlayer" avec l'icone de flash. Ca m'a etonné mais bon
.... peut etre qu'il a ete installé par l'assembleur ... Une piste ?

Sur le net je n'ai rien trouve mis a part la reference :
"Trojan.Win32.Dialer.hc" quand j'effectue une rcherche sur "266.exe"

Merci pour toute aide possible :)

Que donne un Hijackthis?

--
J.Bratières

Enlever paspub pour répondre
Please remove paspub when answering

Le Wed, 22 Nov 2006 12:11:53 +0100, nwjb <j.bra.invalid.paspub@online.fr>
a écrit:

Le Mon, 20 Nov 2006 11:55:10 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Bonjour,

J'ai un PC sur lequel j'ai periodiquement une prise de controle des
entrees par une tierce personne ou logicielle.

- LE menu demarré s'ouvre
- l'element "Executer" est axtivé
- Une commande est execute qui a pour but de :
- Lancer CMD
- ouvrir une connection FTP sur une adresse IP
- Telecharger un executable (266.exe ou 714.exe)
- lance le fichier
- supprime le fichier.

J'ai tente une restauration complete du PC via l'image ghost fournie
par l'assembleur qui a monte le PC et je me retrouve avec le meme
probleme.
J'ai eu apres instalation une information dans la barre d'icone : "Mise
a jour de FlashPlayer" avec l'icone de flash. Ca m'a etonné mais bon
.... peut etre qu'il a ete installé par l'assembleur ... Une piste ?

Sur le net je n'ai rien trouve mis a part la reference :
"Trojan.Win32.Dialer.hc" quand j'effectue une rcherche sur "266.exe"

Merci pour toute aide possible :)

Que donne un Hijackthis?

Voila :)

Merci de ton aide ....

Logfile of HijackThis v1.99.1
Scan saved at 18:21:11, on 22/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesSpyware Doctorsdhelp.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesRealVNCVNC4WinVNC4.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32LVCOMSX.EXE
C:Program FilesSPYWAREfighterspftray.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesSpyware Doctorswdoctor.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesSPYWAREfighterspfprc.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesOperaOpera.exe
C:WINDOWSsystem32wuauclt.exe
F:=== LOGICIELS ===HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - C:Program FilesAdobeAcrobat
6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-
D426709BBFEB} - C:PROGRA~1SPYWAR~1toolsiesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-
17DF180C71AC} - C:PROGRA~1SPYWAR~1toolsiesdpb.dll
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI
TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [Ptipbmf] rundll32.exe
ptipbmf.dll,SetWriteCacheMode
O4 - HKLM..Run: [PinnacleDriverCheck]
C:WINDOWSsystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [avast!]
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [NeroFilterCheck]
C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [spywarefighterguard] C:Program
FilesSPYWAREfighterspftray.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Spyware Doctor] "C:Program FilesSpyware
Doctorswdoctor.exe" /Q
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-
4C56B4E14E84} - C:PROGRA~1SPYWAR~1toolsiesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-
11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) - http://update.microsoft.com/windowsupdate/v6/
V5Controls/en/x86/client/wuweb_site.cab?1163952123078
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-
8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F}
- C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) -
Unknown owner - C:Program FilesAlwil
SoftwareAvast4aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -
C:WINDOWSsystem32ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program
FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program
FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file
missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program
FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file
missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools
Research Pty Ltd - C:Program FilesSpyware Doctorsdhelp.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:Program
FilesSPYWAREfighterspfprc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner -
C:Program FilesRealVNCVNC4WinVNC4.exe" -service (file
missing)

Le Wed, 22 Nov 2006 18:30:26 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Le Wed, 22 Nov 2006 12:11:53 +0100, nwjb
<j.bra.invalid.paspub@online.fr> a écrit:

Le Mon, 20 Nov 2006 11:55:10 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Bonjour,

J'ai un PC sur lequel j'ai periodiquement une prise de controle des
entrees par une tierce personne ou logicielle.

- LE menu demarré s'ouvre
- l'element "Executer" est axtivé
- Une commande est execute qui a pour but de :
- Lancer CMD
- ouvrir une connection FTP sur une adresse IP
- Telecharger un executable (266.exe ou 714.exe)
- lance le fichier
- supprime le fichier.

J'ai tente une restauration complete du PC via l'image ghost fournie
par l'assembleur qui a monte le PC et je me retrouve avec le meme
probleme.
J'ai eu apres instalation une information dans la barre d'icone :
"Mise a jour de FlashPlayer" avec l'icone de flash. Ca m'a etonné mais
bon .... peut etre qu'il a ete installé par l'assembleur ... Une piste
?

Sur le net je n'ai rien trouve mis a part la reference :
"Trojan.Win32.Dialer.hc" quand j'effectue une rcherche sur "266.exe"

Merci pour toute aide possible :)

Que donne un Hijackthis?

Voila :)

Merci de ton aide ....

Suis pas expert HJ. Quelqu'un devrait te répondre.

Tu peux analyser le log en ligne ici: http://www.hijackthis.de

--
J.Bratières

Enlever paspub pour répondre
Please remove paspub when answering

Le Wed, 22 Nov 2006 18:30:26 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Le Wed, 22 Nov 2006 12:11:53 +0100, nwjb
<j.bra.invalid.paspub@online.fr> a écrit:

Le Mon, 20 Nov 2006 11:55:10 +0100, Eric Leconte
<eric.leconte@laposte.net> a écrit:

Bonjour,

J'ai un PC sur lequel j'ai periodiquement une prise de controle des
entrees par une tierce personne ou logicielle.

- LE menu demarré s'ouvre
- l'element "Executer" est axtivé
- Une commande est execute qui a pour but de :
- Lancer CMD
- ouvrir une connection FTP sur une adresse IP
- Telecharger un executable (266.exe ou 714.exe)
- lance le fichier
- supprime le fichier.

J'ai tente une restauration complete du PC via l'image ghost fournie
par l'assembleur qui a monte le PC et je me retrouve avec le meme
probleme.
J'ai eu apres instalation une information dans la barre d'icone :
"Mise a jour de FlashPlayer" avec l'icone de flash. Ca m'a etonné mais
bon .... peut etre qu'il a ete installé par l'assembleur ... Une piste
?

Sur le net je n'ai rien trouve mis a part la reference :
"Trojan.Win32.Dialer.hc" quand j'effectue une rcherche sur "266.exe"

Merci pour toute aide possible :)

Que donne un Hijackthis?
Autre idée : A squared qui n'est pas mauvais sur ce genre de trucs.

http://www.emsisoft.com/en/software/free/


--
J.Bratières

Enlever paspub pour répondre
Please remove paspub when answering