log hijack

Bonjour *hug* :

bonjour,
voila 2 jours que j'essaie de dépanner le pc d'une amie et j'ai déja passé
ad-aware, stinger, msantispyware mais avec des bases de définitions qui
datent de 50 jours environ car je n'ai plus d'accès à internet à partir de
sa machine.
j'ai fait analyser plusieurs log hijack sur le site
http://www.hijackthis.de/fr et enlevé déjà beaucoup de ligne mais pour
celles qui restent je n'ose pas sans avis expert.
J'ai aussi fait des recherces sur google.
j'ai renommé pour l'instant le fichier mspaintb.exe

je vous donne mon dernier log et vous remercie de m'aider

OK. Je regarde ça et te donne le résultat bientôt.

:)


--
Claude LaFrenière [MVP] :-)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Bonjour *hug* :

Voici le résultat .

Système infecté jusqu'aux oreilles !!!
=>> *W32/Forbot-N* + *Troj/Multidr-AH* etc.

Logfile of HijackThis v1.99.1
Scan saved at 12:03:45, on 15/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

1) *** Windows pas à jour...
Nettoie le système avant toute mise à jour ...

2) Qu'est-ce que ce truc fait là-dedans ???
F2 - REG:system.ini: Shell=explorer.exe mspaintb.exe

3) Quel est ce truc ???
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

4) *** À VIRER *** W32/Forbot-N !!!
O4 - HKLM..Run: [System32 Spool ] winint.exe
http://www.sophos.com/virusinfo/analyses/w32forbotn.html

5) *** Suspect !!! quel est ce truc ???
O4 - HKLM..Run: [WIN32] C:aesetup.exe

6) *** À VIRER !!! *** Troj/Multidr-AH
O4 - HKLM..Run: [Dsi] C:WINDOWSSystem32dp-him.exe
http://www.sophos.com/virusinfo/analyses/trojmultidrah.html

7) *** ??? A VIRER !!!
O4 - HKLM..Run: [98D0CE0C16B1] rundll32.exe D0CE0C16B1,D0CE0C16B1

8) Quel est ce truc ??? Vire ça !
O4 - HKLM..RunServices: [System32 Spool ] winint.exe

9) Un autre ! Vire ça !!! *ruNNdll* !!!!!
O4 - HKLM..RunServices: [Local Service] runndll.exe

10) Quel est ce bidule ??? vire-le !!!.
O4 - HKCU..Run: [System32 Spool ] winint.exe

11) ??? ssms !!! à virer (nom utilisé pour le confondre avec smss !!
O4 - HKCU..Run: [Smss] ssms.exe

12) à virer aussi !!!
O4 - HKCU..Run: [Local Service] runndll.exe

"Mini-AV" à utiliser en mode sans échec:

TrendMicro : désactivez votre AV avant de l'utiliser sinon il y aura un
false positive et il ne sera pas possible de l'utiliser. (Probablement le
meilleur de toute la bande...)

Le "sysclean":
http://www.trendmicro.com/download/dcs.asp
+
les définitions de virus :
http://www.trendmicro.com/download/pattern.asp

Placer ces 2 trucs dans le même dossier et lancer:
la procédure est un peu longue mais le produit est fiable.

Stinger :
http://vil.nai.com/vil/stinger/

Avast cleaner :
http://www.avast.com/eng/avast_cleaner.html

MS:
http://www.microsoft.com/downloads/details.aspx?FamilyID­724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=fr

Kaspersky:
ftp://ftp.kaspersky.ru/utils/clrav.com

Contre les Root-Kits
de F-Secure en beta
http://www.f-secure.com/blacklight/

Scans en ligne:

Anti-trojan:
http://www.windowsecurity.com/trojanscan/

Anti-spy:
http://www.spywareguide.com/txt_onlinescan.html
http://store.ca.com/dr/v2/ec_main.entry25?page=FindOutWhosWatchingYou&client=ComputerAssociates&sid5715&CID1432

Anti-virus:
http://fr.trendmicro-europe.com/

En désespoir de cause seulement:
Kasperskoune, la Tortue MoscoLENTE:
http://www.kaspersky.com/beta?product1744315

Ce service aussi : suggéré par JacK[MVP]
http://www.virustotal.com/xhtml/index_en.html

Tiens-nous au courant.

:)
--
Claude LaFrenière [MVP] :-)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

hug vient de nous annoncer :

bonjour,
voila 2 jours que j'essaie de dépanner le pc d'une amie et j'ai déja passé
ad-aware, stinger, msantispyware mais avec des bases de définitions qui
datent de 50 jours environ car je n'ai plus d'accès à internet à partir de sa
machine.
j'ai fait analyser plusieurs log hijack sur le site
http://www.hijackthis.de/fr et enlevé déjà beaucoup de ligne mais pour celles
qui restent je n'ose pas sans avis expert.
J'ai aussi fait des recherces sur google.
j'ai renommé pour l'instant le fichier mspaintb.exe

je vous donne mon dernier log et vous remercie de m'aider

'lut,

O4 - HKLM..Run: [System32 Spool ] winint.exe
Trojan
O4 - HKLM..Run: [Dsi] C:WINDOWSSystem32dp-him.exe Trojan

O4 - HKLM..Run: [98D0CE0C16B1] rundll32.exe D0CE0C16B1,D0CE0C16B1
TRES suspect
O4 - HKCU..Run: [Smss] ssms.exe
Worm
O4 - HKLM..RunServices: [Local Service] runndll.exe
Trojan
O4 - HKLM..RunServices: [Local Service] runndll.exe ID

--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click to answer/cliquer pour répondre :
http://www.cerbermail.com/?z1GqGLYjhd

hello,

sous cette chaleur torride je crois que j'ai pas mal travaillé en suivant
tes conseils :
fixés par hijack :
mspaintb, winint, dp-him,
rundll32.exe D0CE0C16B1,D0CE0C16B1,
ssms, runndll

redémarré en mode sans échec administrateur :
scan (très long !!!) avec sysclean >> 1 seul virus trouvé : winint sur
partition G:
scan avec avast_cleaner >> rien trouvé

mon amie navigue sur le web avec une connexion par cable (UPC) que je n'ai
pas chez moi, son uniy=té centrale est chez moi (donc je change à chaque
fois les cables de mon PC au sien... pour désinfecter son PC puis revenir
sur le mien pour me connecter. c'est long !!!)

ce qu'il me reste à faire :

je vais lui remettre un antivirus qu'elle avait mis APRES les infections
virus mais qu'elle n'a jamais pu mettre à jour à cause des ces virus (c'est
pccillin11).

configurer MON modem adsl et MA connexion sur SON pc puis faire un scan en
ligne chez secuser
puis mettre à jour pccillin et faire un scan
puis windows update.

J'espère que ce sera fini.

Autre question : devant un tel désastre, son frère lui avait installé winXP
Pro sur partition D: (en avril je crois) mais sans la clé donc ne fonctionne
plus. Comment l'enlever ?

je joints 2 log hijack juste pour être sure que tout est clean :

1) en mode sans échec administrateur :

Logfile of HijackThis v1.99.1
Scan saved at 19:22:37, on 15/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
G:depannageHijackThis.exe

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
http://www.google.fr/ie_rsearch.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI-CPanelatiptaxx.exe
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [WIN32] C:aesetup.exe
O4 - HKLM..Run: [bb9ad3e37781] C:WINDOWSSystem32ati3d1ag.exe
O4 - HKLM..Run: [Synchronization Manager]
%SystemRoot%system32mobsync.exe /logon
O4 - HKLM..Run: [1e2cf0395e88] C:WINDOWSSystem32audiosrv.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O23 - Service: SmartLinkService (SLService) - -
C:WINDOWSSYSTEM32slserv.exe

2) en mode normal :

Logfile of HijackThis v1.99.1
Scan saved at 19:18:18, on 15/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:ATI-CPanelatiptaxx.exe
C:WINDOWSSystem32ati3d1ag.exe
C:WINDOWSSystem32audiosrv.exe
C:WINDOWSsystem32slserv.exe
G:depannageHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL =
http://www.google.fr/keyword/%s
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
http://www.google.fr/ie_rsearch.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI-CPanelatiptaxx.exe
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [WIN32] C:aesetup.exe
O4 - HKLM..Run: [bb9ad3e37781] C:WINDOWSSystem32ati3d1ag.exe
O4 - HKLM..Run: [Synchronization Manager]
%SystemRoot%system32mobsync.exe /logon
O4 - HKLM..Run: [1e2cf0395e88] C:WINDOWSSystem32audiosrv.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O23 - Service: SmartLinkService (SLService) - -
C:WINDOWSSYSTEM32slserv.exe

****************************************************************************************************************
Merci de votre aide si rapide et judicieuse. Cela a évité un reformatage !
Et j'ai appris des choses.

****************************************************************************************************************

Bonjour *hug* :

hello,

sous cette chaleur torride je crois que j'ai pas mal travaillé en suivant
tes conseils :
fixés par hijack :
mspaintb, winint, dp-him,
rundll32.exe D0CE0C16B1,D0CE0C16B1,
ssms, runndll

Bon débarras !

redémarré en mode sans échec administrateur :
scan (très long !!!) avec sysclean >> 1 seul virus trouvé : winint sur
partition G:
scan avec avast_cleaner >> rien trouvé

Le Sysclean de TrendMicro est le meilleur...

mon amie navigue sur le web avec une connexion par cable (UPC) que je n'ai
pas chez moi, son uniy=té centrale est chez moi (donc je change à chaque
fois les cables de mon PC au sien... pour désinfecter son PC puis revenir
sur le mien pour me connecter. c'est long !!!)

Ouais... j'imagine...

ce qu'il me reste à faire :

je vais lui remettre un antivirus qu'elle avait mis APRES les infections
virus mais qu'elle n'a jamais pu mettre à jour à cause des ces virus (c'est
pccillin11).

Comme tu veux...
mais pourquoi n'avait-il pas détecté ces cyber-cochoneries ?

Pas à jour ?
Mal réglé ?

configurer MON modem adsl et MA connexion sur SON pc puis faire un scan en
ligne chez secuser
puis mettre à jour pccillin et faire un scan
puis windows update.

J'espère que ce sera fini.

Espérons...

Autre question : devant un tel désastre, son frère lui avait installé winXP
Pro sur partition D: (en avril je crois) mais sans la clé donc ne fonctionne
plus. Comment l'enlever ?

Désolé : ma cervelle ne marche pas très fort et je ne voudrait pas
t'induire en erreur sur ce point. (Comment virer celui-là ? sais pas ou
sais plus... :-((( La canicule m'a transformé en loque humaine ! )

Fait un nouveau post portant sur ce problème : quelqu'un te donnera les
bonnes indications...

je joints 2 log hijack juste pour être sure que tout est clean :

Vu.

Merci de votre aide si rapide et judicieuse. Cela a évité un reformatage !
Et j'ai appris des choses.

Au pif ... (et un peu plus ) tout est "OK"...

:)

--
Claude LaFrenière [MVP] :-)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

grand MERCI à Claude LaFrenière et à JacK (dont je connais le site)

à un autre jour peut-être pour moi (pour l'instant mon pccillin12 me garde
bien)

bon weekend

Salut Hug

L'antivirus pccillin version 11 n'est pas à jour il sont rendu à la version
12 alors il te reste à faire cela aussi

bonne chance

bye

Denis

"hug" <hugkettyBIDON@SPAMtele2.fr> wrote in message
news:OgEEoZSiFHA.2484@TK2MSFTNGP15.phx.gbl...

bonjour,
voila 2 jours que j'essaie de dépanner le pc d'une amie et j'ai déja passé
ad-aware, stinger, msantispyware mais avec des bases de définitions qui
datent de 50 jours environ car je n'ai plus d'accès à internet à partir de
sa machine.
j'ai fait analyser plusieurs log hijack sur le site
http://www.hijackthis.de/fr et enlevé déjà beaucoup de ligne mais pour
celles qui restent je n'ose pas sans avis expert.
J'ai aussi fait des recherces sur google.
j'ai renommé pour l'instant le fichier mspaintb.exe

je vous donne mon dernier log et vous remercie de m'aider

Logfile of HijackThis v1.99.1
Scan saved at 12:03:45, on 15/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32slserv.exe
C:ATI-CPanelatiptaxx.exe
C:WINDOWSSystem32ati3d1ag.exe
C:WINDOWSSystem32audiosrv.exe
C:WINDOWSSystem32wuauclt.exe
G:depannageHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL =
http://www.google.fr/keyword/%s
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
http://www.google.fr/ie_rsearch.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
F2 - REG:system.ini: Shell=explorer.exe mspaintb.exe
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ATI-CPanelatiptaxx.exe
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [System32 Spool ] winint.exe
O4 - HKLM..Run: [WIN32] C:aesetup.exe
O4 - HKLM..Run: [Dsi] C:WINDOWSSystem32dp-him.exe
O4 - HKLM..Run: [98D0CE0C16B1] rundll32.exe D0CE0C16B1,D0CE0C16B1
O4 - HKLM..Run: [bb9ad3e37781] C:WINDOWSSystem32ati3d1ag.exe
O4 - HKLM..Run: [Synchronization Manager]
%SystemRoot%system32mobsync.exe /logon
O4 - HKLM..Run: [1e2cf0395e88] C:WINDOWSSystem32audiosrv.exe
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..RunServices: [System32 Spool ] winint.exe
O4 - HKLM..RunServices: [Local Service] runndll.exe
O4 - HKCU..Run: [System32 Spool ] winint.exe
O4 - HKCU..Run: [Smss] ssms.exe
O4 - HKCU..Run: [Local Service] runndll.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O23 - Service: SmartLinkService (SLService) - -
C:WINDOWSSYSTEM32slserv.exe

merci de votre aide