infos suite sur netspy

08/02/2004 à 20:44

Voici le rapport
et merci

Logfile of HijackThis v1.97.7
Scan saved at 18:21:29, on 08/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
c:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
c:Program FilesNorton Personal FirewallNISUM.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32alg.exe
c:Program FilesNorton Personal FirewallccPxySvc.exe
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
c:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32fxssvc.exe
C:windowssystemhpsysdrv.exe
C:HPKBDKBD.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE
C:Program FilesMessengermsmsgs.exe
C:Program Filesa2a2guard.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesWindows NTPinballPINBALL.EXE
C:Documents and SettingsPropriétaireMes documentsHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL http://qfr9.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://srch-qfr9.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://qfr9.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
c:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [hpsysdrv] c:windowssystemhpsysdrv.exe
O4 - HKLM..Run: [KBD] C:HPKBDKBD.EXE
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [Recguard] C:WINDOWSSMINSTRECGUARD.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM..Run: [ccApp] "c:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "c:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM..Run: [Reminder] "C:WindowsCreatorRemind_XP.exe"
O4 - HKLM..Run: [PS2] C:WINDOWSsystem32ps2.exe
O4 - HKLM..Run: [EPSON Stylus CX6400]
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P19 "EPSON Stylus
CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKCU..Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [a²] "C:Program Filesa2a2guard.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk C:WINDOWSsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
Information Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

a écrit dans le message de
news:c02m1i$ek3$

Merci,
Je ne suis plus chez lui mais je tenterai demain puis je publierai sur le
forum le rapport et encore merci

"joke0" a écrit dans le message de
news:
Salut,
Bien, je ne sais pas si c'est une fausse infos.
Ce que je sais, c'est que le troyen semble etre sur l'uc,
j'ai désactivé l'accés a internet, et il n'y a pas d'autres
uc,

On va faire un truc simple:

Télécharge Hijack This! et fait un scan de ton PC:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Ensuite demande un rapport et publie-le ici.

Si la backdoor est présente sur le pc, il faut bien qu'il se
lance depuis qqpart et avec ce rapport je le verrais.

--
joke0

Voici le rapport
et merci

Logfile of HijackThis v1.97.7
Scan saved at 18:21:29, on 08/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
c:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
c:Program FilesNorton Personal FirewallNISUM.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32alg.exe
c:Program FilesNorton Personal FirewallccPxySvc.exe
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
c:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32fxssvc.exe
C:windowssystemhpsysdrv.exe
C:HPKBDKBD.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE
C:Program FilesMessengermsmsgs.exe
C:Program Filesa2a2guard.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesWindows NTPinballPINBALL.EXE
C:Documents and SettingsPropriétaireMes documentsHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL http://qfr9.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://srch-qfr9.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://qfr9.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
c:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [hpsysdrv] c:windowssystemhpsysdrv.exe
O4 - HKLM..Run: [KBD] C:HPKBDKBD.EXE
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [Recguard] C:WINDOWSSMINSTRECGUARD.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM..Run: [ccApp] "c:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "c:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM..Run: [Reminder] "C:WindowsCreatorRemind_XP.exe"
O4 - HKLM..Run: [PS2] C:WINDOWSsystem32ps2.exe
O4 - HKLM..Run: [EPSON Stylus CX6400]
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P19 "EPSON Stylus
CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKCU..Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [a²] "C:Program Filesa2a2guard.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk C:WINDOWSsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
Information Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

<t.lafon1@tiscali.fr> a écrit dans le message de
news:c02m1i$ek3$1@news.tiscali.fr...

Merci,
Je ne suis plus chez lui mais je tenterai demain puis je publierai sur le
forum le rapport et encore merci

"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message de
news:XnF9488881128608joke0@127.0.0.1...

Salut,

Bien, je ne sais pas si c'est une fausse infos.
Ce que je sais, c'est que le troyen semble etre sur l'uc,
j'ai désactivé l'accés a internet, et il n'y a pas d'autres
uc,

On va faire un truc simple:

Télécharge Hijack This! et fait un scan de ton PC:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Ensuite demande un rapport et publie-le ici.

Si la backdoor est présente sur le pc, il faut bien qu'il se
lance depuis qqpart et avec ce rapport je le verrais.

--
joke0

Vous avez filtré cet utilisateur ! Consultez son message

Voici le rapport
et merci

Logfile of HijackThis v1.97.7
Scan saved at 18:21:29, on 08/02/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
c:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
c:Program FilesNorton Personal FirewallNISUM.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32alg.exe
c:Program FilesNorton Personal FirewallccPxySvc.exe
C:Program FilesFichiers communsEPSONEBAPISAgent2.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
c:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32fxssvc.exe
C:windowssystemhpsysdrv.exe
C:HPKBDKBD.EXE
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE
C:Program FilesMessengermsmsgs.exe
C:Program Filesa2a2guard.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesWindows NTPinballPINBALL.EXE
C:Documents and SettingsPropriétaireMes documentsHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL http://qfr9.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://srch-qfr9.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page http://qfr9.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar http://srch-qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
c:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [hpsysdrv] c:windowssystemhpsysdrv.exe
O4 - HKLM..Run: [KBD] C:HPKBDKBD.EXE
O4 - HKLM..Run: [StorageGuard] "C:Program FilesFichiers
communsSonicUpdate Managersgtray.exe" /r
O4 - HKLM..Run: [Recguard] C:WINDOWSSMINSTRECGUARD.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM..Run: [ccApp] "c:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "c:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM..Run: [Reminder] "C:WindowsCreatorRemind_XP.exe"
O4 - HKLM..Run: [PS2] C:WINDOWSsystem32ps2.exe
O4 - HKLM..Run: [EPSON Stylus CX6400]
C:WINDOWSSystem32spoolDRIVERSW32X863E_S10IC2.EXE /P19 "EPSON Stylus
CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKCU..Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [a²] "C:Program Filesa2a2guard.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk C:WINDOWSsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -
http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry
Information Class) -
http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

a écrit dans le message de
news:c02m1i$ek3$

Merci,
Je ne suis plus chez lui mais je tenterai demain puis je publierai sur le
forum le rapport et encore merci

"joke0" a écrit dans le message de
news:
Salut,
Bien, je ne sais pas si c'est une fausse infos.
Ce que je sais, c'est que le troyen semble etre sur l'uc,
j'ai désactivé l'accés a internet, et il n'y a pas d'autres
uc,

On va faire un truc simple:

Télécharge Hijack This! et fait un scan de ton PC:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Ensuite demande un rapport et publie-le ici.

Si la backdoor est présente sur le pc, il faut bien qu'il se
lance depuis qqpart et avec ce rapport je le verrais.

--
joke0

joke0

08/02/2004 à 22:46

Salut,

t.lafon:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://srch-qfr9.hpwis.com/

Si cette page de démarrage te gêne, coche les cases
correspondantes, puis 'Fix'.

Je ne vois rien de suspect là-dedans. Tout est propre.

--
joke0

12/02/2004 à 09:27

Bonjour,

La solution que j'ai trouvé :
Recréer les règles du firewall juste pour le "c:windowsexplorer" résultat
après redémarrage ok.
Donc, Norton Personnal Firewall 2003 (NPF2003), sous windows "xp famillial"
et uniquement sur l'Uc de mon amis, avait donné une information érronée.
Je ne peux généraliser car plusieurs UC dont j'ai la maintenance
fonctionnent bien avec N.P.F.2003.

Bonne journée et merci pour le soft de vérif.

Ce forum est bien.

Connaissez-vous un forum sachant me dire si le fait de rajouter "*67" ou
"4793" au numéro de téléphone d'accés au F.A.I est payant ou non ?
Ces numéros sont sensés cachés les numéros suivant les "*67 ou 4793". (Grace
au BIC)
B.I.C. = Bloc d'identification des appels.

Merci d'avance
Je souhaite que la vie privée et l'anonymat soit respecté pour mes amis
niquement..

infos suite sur netspy

3 réponses

Veuillez sélectionner un problème