Log Hijackthis, quoi faire

par **xMaximex** » 29 Sep 2004 19:58

J'ai un poste qui a le probleme rev0lt.net (fenetre IE qui ouvre automatiquement avec une fenetre blanche sur le site ***//rev0lt.net/index.html NE CLIQUEZ PAS). J'ai fait un scan avec Hijackthis, voici les logs:

Logfile of HijackThis v1.98.2
Scan saved at 13:50:06, on 2004-09-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\MSNMSGR5.exe
C:\index.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\infgmf01\LOCALS~1\Temp\Rar$EX00.005\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.247.1.102:900/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6055066081
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gmf.reg02.rtss.qc.ca
O17 - HKLM\Software\..\Telephony: DomainName = gmf.reg02.rtss.qc.ca
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gmf.reg02.rtss.qc.ca
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gmf.reg02.rtss.qc.ca

Je dois avouer que je comprend pas vraiment ces logs ... qu'Est-ce que je devrais faire ? vous voyez quoi de "dangeureux" ou de suspect ?

par **pulsergene** » 29 Sep 2004 20:01

bonjour
essaies ce truc la c est pas mal
cela peut resoudre ton pb

http://assiste.free.fr/p/frameset/07_cwshredder.php

ou spybot

par **xMaximex** » 29 Sep 2004 20:20

J'ai fait spybot, spysweeper et CWShreder. Le probleme est toujours la

CWShreder n'as rien donné, il écrivais toujours Not Present

par **bernie50** » 09 Oct 2004 20:48

bonsoir

l'audit hitjack ne décéle pas formellemnt de fichiers a effacer sauf en rouge après avoir vérifé si connu
les autres lignes ne sont pas connues mais correspondent a des tâches en cours, avoir a quel logiciel elles correspondent ? par exemple c:\index.exe

Attention faire confirmer l'analyse par un spécialiste

C:\WINDOWS\System32\QCONSVC.EXE
Inconnu Tâche en cours. (QCONSVC.EXE)
Tâche inconnue. C:\WINDOWS\System32\r_server.exe
Inconnu Tâche en cours. (r_server.exe)
Tâche inconnue. C:\WINDOWS\system32\TpKmpSVC.exe

C:\WINDOWS\system32\MSNMSGR5.exe
Inconnu Tâche en cours. (MSNMSGR5.exe voir post plus bas)
Tâche inconnue. C:\index.exe
Inconnu Tâche en cours. (index.exe)

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://10.247.1.102:900/
Eventuellement méchant Il y a de fortes chances que ce site soit méchant ! Si vous ne connaissez pas le site, 'http://10.247.1.102:900/ ' , il vaut mieux effacer cette inscription.
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe inconnu

O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe inconnu

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
gmf.reg02.rtss.qc.ca
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine 'gmf.reg02.rtss.qc.ca ' ne vous est pas connu. O17 - HKLM\Software\..\Telephony: DomainName = gmf.reg02.rtss.qc.ca
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine 'gmf.reg02.rtss.qc.ca ' ne vous est pas connu. O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain =
gmf.reg02.rtss.qc.ca
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'. Effacer si l’IP ou le domaine 'gmf.reg02.rtss.qc.ca ' ne vous est pas connu. O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain =
gmf.reg02.rtss.qc.ca
Eventuellement méchant Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu.

par **grosbedos** » 09 Oct 2004 21:31

r_server.exe c'est le serveur de remote administrator,
un soft genre vnc,

mais j'ai lu que certain l'installer comme trojan, et recemment avec les failles gdi+..

par **bernie50** » 11 Oct 2004 11:25

Hi,

Là est la difficulté, de discerner si l'utilisateur se sert de cette procédure ou si un hacker a su l'installer trojan caché sous le même nom.

Vérifier la date d'installation du fichier r_server.exe

Vérifier si c'est l'utilisateur qui le lance
Rechercher sur google si des moyens existent pour s'en assurer .

Bref la tâche n'est pas simple mais néanmoins faisable

Pour le reste ton problème évolue comment :idea:

Vérifier le chemin du fichier sur un pc sain et comparer si pas a la bonne place "fix"

par **bernie50** » 11 Oct 2004 20:02

Hi,

http://www.dslreports.com/forum/remark,11412856~mode=flat?hilite=rev0lt.net

:wink:

C:\WINDOWS\system32\MSNMSGR5.exe
O4 - HKLM\..\Run: [MSNMSGR5] MSNMSGR5.exe
O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe

Si j'en crois ce lien ci dessus ces clés sont a "fix"

par acquis de conscience vérifier sur un système sain si cet exe existe mais j'en doute :roll:

Log Hijackthis, quoi faire

Log Hijackthis, quoi faire

re

re

re

Qui est en ligne ?