trojan avec google earth pro - Sécurité - Windows & Software
Marsh Posté le 06-07-2005 à 18:58:57
Bonjour, télécharge HijackThis v1.99.1:
http://www.merijn.org/files/hijackthis.zip
Important: Installer Hijackthis correctement
Linstaller sous C:\Hijackthis par exemple (pas dans un fichier temp)
Scan/save log (rapport)/copier&coller le contenu du rapport ici
Tutorial pour linstallation et l'utilisation:
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Marsh Posté le 07-07-2005 à 09:54:54
après avoir enlevé tous les virus voila mon rapport hijackthis
je sais que vous allez me dire d'enlever messenger plus mais à part ça voyez vous quelquechose de louche?
je pense que la ligne O16 avec wild tangent est à dégager. non?
Logfile of HijackThis v1.99.1
Scan saved at 09:50:57, on 07/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [eTrust PestPatrol Active Protection] none
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Act [...] uncher.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC414E5-60D2-4250-83D4-A484161B20F2}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Marsh Posté le 07-07-2005 à 10:15:03
je viens de découvrir qu'on pouvait analyser les logs hijckthis en ligne ici:
http://hijackthis.de/index.php?langselect=french
donc je l'ai fait et il m'a rien trouvé de grave. et vous?
je suis tjs dubitatif sur la ligne O16
Marsh Posté le 07-07-2005 à 11:28:04
tu peux cocher les lignes 016 ce sont juste des modules ke IE a téléchargé, rien de grave
Marsh Posté le 07-07-2005 à 11:32:35
ousman a écrit : J'ai télécharger hier google earth pro en plusieurs exemplaires et il se trouve que le premier qui est arrivé était un put... de trojan |
Heu ... bien fait !
Marsh Posté le 07-07-2005 à 11:48:29
merci dreadlock, très constructif...
et la ligne O17 c'est quoi?
j'arrive pas a trouver a quoi corresponde les IP
Marsh Posté le 07-07-2005 à 12:05:37
ousman a écrit : |
ce sont les dns de ton FAI (WANADOO)
Marsh Posté le 07-07-2005 à 12:21:42
ousman a écrit : merci dreadlock, très constructif... |
Tu aurais pris la version de base sur le site google ou la pro toujours sur le même site tu n'aurais pas eu de problème.
Marsh Posté le 07-07-2005 à 12:46:32
Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
Démarre en mode sans échec (F8 ou F5)
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [eTrust PestPatrol Active Protection] none
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Act [...] uncher.cab
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
Exécute CCleaner sur chaque session utilisateur
Fais un scan sur Panda:
http://www.pandasoftware.com/activescan/
Colle le résultat avec un nouveau rapport Hijackthis.
Marsh Posté le 07-07-2005 à 12:49:48
Tu pourrais aussi changer ton titre non ? Car il n'y a aucun Trojan dans Google Earth !
Marsh Posté le 07-07-2005 à 13:07:04
Deadlock a écrit : Tu pourrais aussi changer ton titre non ? Car il n'y a aucun Trojan dans Google Earth ! |
+1 on l'a tous utilisé au bureau, et personne n'a rien eu
Marsh Posté le 17-08-2005 à 22:41:22
Pourrais-tu par contre nous dire si la résolution de Google Earth Pro est vraiment supérieure à la version classique ? notamment en ce qui concerne la France...
Merci d'avance
Crillon
Marsh Posté le 17-08-2005 à 22:45:57
Ca change rien au niveau de la résolution, j'ai pu faire l'essai.
Au fait, y'a un Topic Unique Google Earth...
Marsh Posté le 06-07-2005 à 18:28:44
Bonjour à tous,
J'ai télécharger hier google earth pro en plusieurs exemplaires et il se trouve que le premier qui est arrivé était un put... de trojan (le pire c'est que je l'ai su juste après l'avoir exécuté!). Bon il ne s'est pas passé grand chose mais maintenant j'ai un processus qui s'appelle EXPLORER.EXE (en majuscules) et qui s'execute a chaque boot du pc. Je peux l'enlever a la main mais bon c'est relou de le faire a chaque fois.
avast, adaware et spybot ne trouvent rien.
comment virer ce truc?
merci de votre aide
ousman