Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu]

Tu n'as pas pu virer le fichier ibm00019.exe alors?

Citation :: Tu n'as pas pu virer le fichier ibm00019.exe alors?

Si, mais je l'ai remis sinon message d'erreur au démarrage de windows.

T'es sûre que c'est un trojan ?

Sûre et certaine. Je t'ai donné le lien.

Mais le fichier ibm00019.exe, il existe toujours ou pas?

@+

Oui, il est toujors sur le disque.

Il n'y a qu'eux qui en parlent

http://www.superadblocker.com/definition/ibm00019/

Il n'y a qu'eux qui en parlent parce que ce fichier a un nom aléatoire.
Si tu lances une recherche Google sur ibm00001.exe, tu auras plus d'infos.

fais un point de restauration système manuel.

lance l'éditeur de registre et navigue jusqu'à la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Qu'est ce que tu as dans la valeur Shell (partie droite, colonne donnée)?

@+

J'y suis déjà allé là mais je ne peux rien modifier, même en me donnant un controle totale au niveau des autorisations.

Et en coupant la chique à explorer.exe, tu as essayé?

@+

Sinon j'ai explorer.exe en donnée au fait. Mrgreen

Tu n'as rien derrière explorer.exe? Même pas un petit ibm00019.exe? Comprend pas

Si tu n'as que explorer.exe, redémarre et poste un nouveau log HJT après redémarrage.

Citation :: Tu n'as rien derrière explorer.exe? Même pas un petit ibm00019.exe?

Si je rentre des les propriété de shell oui, je retombe sur l'emplacement du disque.

Bon, je verrai demain je dois partir.

Bye. Hello

Dans le registre cherche la clé:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Cherche la valeur Shell dans la partie droite et dis moi si tu as
"Shell" = ""C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[random 5 digit number].exe""

Chez toi ibm[random 5 digit number].exe devrait être ibm00019.exe

Sinon cherche ibm00019.exe dans le registre et dis moi dans quelle(s) clé(s) il se trouve.

@+

Citation :: "Shell" = ""C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm[random 5 digit number].exe""

Chez toi ibm[random 5 digit number].exe devrait être ibm00019.exe

Tout à fait.

Je suis en train d'affuter ma hache à registre. taware

OK! On verra demain. Hello

Symantec donne la procédure pour nettoyer le registre. Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Icon_wink

Sinon, à part ça (une fois que tu auras enlevé les 2 services et le ms32sgss.exe dans HijackThis) le log est propre. C'est bon

Par contre, demain, il faudra vider les poins de restauration système. En faire un tout neuf dès que tu as réglé son compte à ibm00019.exe (et que les services et ms32sgss.exe sont virés). Et connecter le PC sur le net.
Il utilise un sagem F@st 800 pour se connecter.

@+

Je lui ai fait un petit tour de passe passe à la Renard à cette clé.

D'abord je l'ai cherché et je l'ai édité avec le bloc note ce qui donne ça :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe \"C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Web Folders\\ibm00019.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avldr]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SCLogon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Credentials]

Ensuite je l'ai modifié en supprimant ceci :

\"C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Web Folders\\ibm00019.exe\""

Et j'ai redémarré en mode sans echec puis j'ai fusionné la nouvelle clé pour qu'elle remplace l'autre.
Ensuite j'ai vu que sur mon PC cette clé avait pour valeur Explorer.exe.

Je lui ai donné la même valeur et j'ai redémarré.

Plus de message d'erreur à l'ouverture mais le F2 apparaît toujours dans le log Hitjacthis.

J'hésite entre laisser le F2 ou le virer. Soucieux

Même si c'est un reste de trojan il est à mon avis un peu dépité.... Super lol

Le log Hitjacthis

Logfile of HijackThis v1.99.1
Scan saved at 19:34:43, on 22/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\Explorer.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114856002722
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program Files\Anuman Interactive\Train électrique 3D\monki.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Tu peux la virer ou la laisser c'est au choix.
De toute façon comme tu dis, le troyen est un peu dépité puisqu'il n'est plus appelé par l'entrée F2. Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Thumbs

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Thumbs

Pour finir le ménage dans les fichiers il vaudrait mieux passer un coup de Ewido (que tu peux installer en même temps que Panda, c'est un anti-troyen. Donc, ils ne se géneront pas.).

Par contre, c'est un produit payant. Tu as droit à 30 jours gratuits. Au delà de ces 30 jours, le bouclier temps réel est désactivé mais tu peux continuer à le mettre à jour (manuellement) et à l'utiliser pour scanner (comme A², en fait mais meilleur).
Lorsque tu l'installes, décoche l'installation du bouclier temps réel, mets le à jour et scanne. Il va sûrement te débusquer pas mal de choses en commençant par les dll appartenant à ibm00019.exe.

Une question que j'ai oublié de te poser: Quand tu as lancé VundoFix et que tu as coché la case Run as a task, est ce qu'il s'est relancé après?
J'aimerais comprendre pourquoi il n'a pas fonctionné chez Lolla.
Les fichiers étaient nettoyés mais recréés au démarrage suivant.
Je sais que les dernières versions de Vundo arrivent avec un rootkit et que VundoFix doit être couplé avec Blacklight. Mais apparemment Lolla n'avait pas la version avec rootkit. Alors, je ne comprends pas. Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Dontknow

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Dontknow

@+

Ah oui ... Un détail: le log est propre. Lol

Citation :: par les dll appartenant à ibm00019.exe.

Je me les suis fait à la main ceux la.

Citation :: Une question que j'ai oublié de te poser: Quand tu as lancé VundoFix et que tu as coché la case Run as a task, est ce qu'il s'est relancé après?

Non, ensuite j'ai scanné et j'ai redémarré.
J'ai re-scanné pour voir mais il avait bien tout viré au premier coup. C'est bon

Demain je vais utiliser Regseeker pour le registre et je ferai les fichiers Windows moi-même (je préfére)

Citation :: Ah oui ... Un détail: le log est propre

Juste un détail Lol

C'est très exeptionnel que je passe autant de temmps sur un PC mais sur ce coup le cas était un peu particulier.

En attendant et grace à toi ce PC revient de très loin, il fonctionne tout à fait normalement et répond très bien.

Merci. C'est bon

Je vois que tu as réussi à re-faire ta signature. Elle ne fonctionnait pas taleure parce qu'elle était trop longue. (le nombre de caractére est limité) Chapeau

De rien.

Rapport Hitjacthis (Look2me, Vundo et les autres..) [résolu] - Page 2 Smile

» Playsrv.dll ou Vundo.B voir Agent.SC Norton sauve Panda !
» rapport panda highjack (javaro32.dll)
» rapport 2 panda et highjack