| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
 Posté le: 26 Avr 2006 17:31 Sujet du message: Analyse HijackThis |
|
|
Bonjour a tous.
Je suis nouveau sur ce forum.
Voici le elien de l'analyse HijackThis  :
http://cjoint.com/?eAtCaSxKEV
Merci de me filer un petit coup de main.  |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8051
Localisation: Rouen (France)
|
| Posté le: 26 Avr 2006 17:36 Sujet du message: |
|
|
Bonjour & bienvenue,
Je n'ai pas regardé ton log, mais ce serait pas mal, si tu nous disais pourquoi tu veux une analyse de log...
Des symptômes particuliers ?
@+
_________________
 |
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
| Posté le: 26 Avr 2006 17:42 Sujet du message: |
|
|
Effectivement, j'en ais oublié l'éssentiel dans mon empressement d'une réponse vraiment désolé.
Dison qu'a la suite d'une recherche quelque peut illégal sur internet, je me suis retrouvé avec un éxtracteur sur mon pc, moi, comme un **** je le lance, et aprés cela, impossible d'accéder a mon parefeu du sp2.
Sa m'apprendra, mais j'ai tout de même réussit a remmetre mon parefeu en service, j'ai donc fait une petite analyse au cas ou et il s'avére que le résultat me parait pas trés bon...
A vous de juger.
Au niveau des simptome rien n'est aparut, rien ne ma "déranger", bref rien ne s'est passé pour le moment.
J'éspére que j'ai été assez précis, sinon n'ésitez pas.
Merci beaucoup |
|
| Revenir en haut |
|
|
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 26 Avr 2006 18:01 Sujet du message: |
|
|
En attendant l'annalyse de ton log, faits un scan panda et postes ton rapport ici
_________________
Jet Li |
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
| Posté le: 26 Avr 2006 18:04 Sujet du message: |
|
|
Ok pas de probléme.
J'avais déjà commencé mais je me suis ravisé.
Jla relance tout de suite. |
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
|
| Revenir en haut |
|
|
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 26 Avr 2006 21:23 Sujet du message: |
|
|
Bonsoir,
Alors supprimes le fichier en gras, puis vides ta corbeille.
C:\country.exe
Télécharges Spybot - Search & Destroy, et nettoies ton PC avec. Ensuites redémarres ton PC et refaits un scan panda et postant ton rapport ici.
Pour ton log hijackthis, quelqu'un va te l'annalyser ( moi je manques d'expérience  ) Bonne soirée a tous.
_________________
Jet Li |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8051
Localisation: Rouen (France)
|
| Posté le: 27 Avr 2006 7:36 Sujet du message: |
|
|
Bonjour à tous les deux,
A priori, rien de bien méchant sur les rapports, mais à priori seulement...
Il semblerait que l'infection commence à se mettre en place -- > Voir ici.
| Citation: | | Il est sauvegardé sur le disque dur local à l'emplacement: c:\country.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Killav.DB.2 |
Concernant les cookies, certains sont issus de sites crapuleux comme ErrorSafe par exemple. Si les cookies ne sont pas méchants, il n'en reste pas moins que leur origine est plus que douteuse et qu'ils révèlent peut être une infection de CWS au mieux, mais je pencherais davantage pour du hijacking.
Concernant le log, 3 entrées me chiffonnent, l'une est irrémédiablement un spyware et l'autre est tendancieuse puisqu'elle redirige vers un site à l'insu de l'utilisateur.
A noter que 2 de ces entrées en question ont toutes deux été instaurées par du matériel informatique (HP et les pilotes de la carte son.  ). La troisième est le signe d'une infection par un dropper qui se charge de downloader du code malicieux.
On va faire le ménage
Pour fpeg26 :
Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.
- Télécharge les outils suivants, fais les mises à jour, mais ne les lance pas pour le moment. :
- Débranche ta connexion Internet pour éviter les downloads silencieux,
- Vide la quarantaine de ton antivirus résident s'il y a quelque chose dedans,
- Lance SmitfraudFix en double cliquant sur SmitfraudFix.cmd et exécute l'option 1 (Rechercher)
- Sauvegarde le rapport dans tes documents pour pouvoir l'uploader sur ta prochaine réponse.
- Fais un nettoyage avec CleanUp (ne touche pas aux options, laisse l'ascenceur positionné sur Standard Cleanup)
- Redémarre en mode sans échec
- Lance CWShredder, clique directement sur Fix et note le résultat s'il trouve quelque chose.
- Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http//ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - Startup: Adobe Gamma Loader.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
- Clique sur Fix Checked et accepte les modifications.
- Lance un scan complet de Spybot S&D --> Supprime tout ce qu'il trouve et vide sa quarantaine.
- Même chose avec a² Free
- Relance SmitfraudFix, choisis cette fois l'option 2 (nettoyer) et réponds oui à chaque question
- Sauvegarde ce nouveau rapport et redémarre normalement ton pc.
- Nouveau scan et rapport de Panda
- Fais un scan avec PestPatrol et donne le rapport,
- Nouveau log HijackThis (Do a system scan and save a log file)
- Poste les 2 rapports de SmitfraudFix que tu as sauvegardés.
2 conseils de sécurité :
- Laisse tomber la navigation avec Internet Explorer au profit de Firefox,
- Désinstalle Java (J2SE Runtime Environment) par Ajout / Suppression de Programmes du Panneau de Configuration et installe la dernière version qui se trouve ICI. Ca comblera une faille de sécurité importante.
Je présume que tu as supprimé l'extracteur qui t'a causé ces soucis ?
Bon courage
@+
_________________
|
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
| Posté le: 27 Avr 2006 10:06 Sujet du message: |
|
|
Merci a tous les deux de m'avoir aidé aussi vite
Je test tout de suite et je vous tiens au courant dés que j'aurai fini tout cela ( dans l'aprés midi je pense)
Merci encore |
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
| Posté le: 27 Avr 2006 12:39 Sujet du message: |
|
|
Je ne comprends pas, j'en suis a la fase de scan avec panda et il me trouve déjà 947 logiciel espion, c'este ncore plus que hier.En revanche pour le moment, pas d'outils de piratage présent, youhpi ^^
Je ne cris pas tro vite victoire.
Je posterai tout cela dés que c'est fini.
Merci encore |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8051
Localisation: Rouen (France)
|
| Posté le: 27 Avr 2006 12:44 Sujet du message: |
|
|
| fpeg26 a écrit: | | Je ne comprends pas, j'en suis a la fase de scan avec panda et il me trouve déjà 947 logiciel espion, c'este ncore plus que hier. |
Laisse le finir le scan, oui
Je pense qu'il s'agit de cookies et de quelques faux positifs. Il est possible aussi que l'infection ait fait du chemin depuis tes derniers rapports.
@+
_________________
|
|
| Revenir en haut |
|
|
fpeg26
Nouveau
Inscrit le: 26 Avr 2006
Messages: 13
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8051
Localisation: Rouen (France)
|
| Posté le: 27 Avr 2006 13:56 Sujet du message: |
|
|
Je n'avais pas besoin de 2 logs HijackThis , le dernier suffisait. Par contre, tu n'as pas posté les 2 rapports de SmitfraudFix , il manque le 1er.
Le log est propre, c'est déjà ça.
Pour le rapport de PestPatrol, tu dois dérouler chaque + qui se trouve devant l'occurence trouvée afin que tout soit visible.
Ensuite tu fais un copier / coller de l'intégralité du rapport dans le bloc notes, tu le sauvegardes et tu l'uploades sur ton prochain message.
Refais le scan, il y en a pour 5 min
CleanUp n'a pas nettoyé les cookies, peut être parceque FF n'est pas ton navigateur par défaut. 
On va le faire à la main :
Rends toi à ce dossier et supprime le fichier qui est en gras et vide la corbeille ensuite.
- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\je3nbc27.default\cookies-1.txt
J'attends ton rapport PestPatrol et on nettoie le registre ensuite
@+
_________________
|
|
| Revenir en haut |
|
|
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 27 Avr 2006 13:57 Sujet du message: |
|
|
Bonjour, nettoies ton PC avec Spybot - Surch & destroy que tu as déja utilisé normalement, et refaits un scan panda
Edit : Encore grillé
_________________
Jet Li |
|
| Revenir en haut |
|
|
Pow-wow
VIP +
Inscrit le: 15 Fév 2005
Messages: 706
Localisation: Est de la France
|
| Posté le: 27 Avr 2006 14:55 Sujet du message: |
|
|
Bonjour
| Jet Li a écrit: | | Edit : Encore grillé |
Encore un peu de patience avant de vouloir nous griller 
Je suis déjà dehors
_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
