On Fri, 30 Dec 2005 13:19:54 +0100, "Maurice Polard"
wrote:1 - Quelqu'un a t'il entendu parlé de ce troyen ?
Difficile de répondre : les infos que vous fournissez sont insuffisantes.2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme
sachant qu'il émet toujours à destination du port TCP 25.
Installez HijackThis et postez le log résultant
http://www.spywareinfo.com/~merijn/downloads.html
On Fri, 30 Dec 2005 13:19:54 +0100, "Maurice Polard"
<nospam.maurice.polard@free.fr> wrote:
1 - Quelqu'un a t'il entendu parlé de ce troyen ?
Difficile de répondre : les infos que vous fournissez sont insuffisantes.
2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme
sachant qu'il émet toujours à destination du port TCP 25.
Installez HijackThis et postez le log résultant
http://www.spywareinfo.com/~merijn/downloads.html
On Fri, 30 Dec 2005 13:19:54 +0100, "Maurice Polard"
wrote:1 - Quelqu'un a t'il entendu parlé de ce troyen ?
Difficile de répondre : les infos que vous fournissez sont insuffisantes.2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme
sachant qu'il émet toujours à destination du port TCP 25.
Installez HijackThis et postez le log résultant
http://www.spywareinfo.com/~merijn/downloads.html
C:WINDOWSsystem32inetsrvinetinfo.exe
Inetinfo correspond normalement aux services IIS, mais est également
utilisé
par le ver pour se dissimuler. Vérifiez que
l'exécutable
soit bien celui de Microsoft (bouton droit => propriétés => version)
Avez-vous besoin d'IIS, qui pose d'énormes problèmes de sécurité ?
C:Program FilesFichiers communsMicrosoft SharedWeb Server
Extensions50binOWSTIMER.EXE
MS SharePoint. N'a rien à faire sur un PC domestique.
C:squidsbinsquid.exe
Mandataire Squid. Qu'est-ce qu'il fout là ? Pose de très graves problèmes
de sécurité si mal configuré.
C:WINDOWSsystem32dnsbinnamed.exe
Vérifiez la version.
C:Program FilesPopTrayPopTray.exe
Normalement inoffensif, mais pourquoi avez-vous besoin d'un truc qui va
vérifier que vous avez du courrier en POP3 alors que tous les logiciels de
messagerie le font ?
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Scories pouvant être liée au cheval de Troie Dyfuca.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:binJavajrebinssv.dll
Hijack de la machine virtuelle MS par Sun. Pas de risque, mais toujours
amusant de constater que les "grands" font comme les Jean-Kévin.
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
Scories de Bit Defender. Vous savez, un seul AV suffit...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
Bit Defender re, et Panda. Deux de trop : vous utilisez NAV, non ?
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxLiveShare.exe
Grrr.
Au final je dirais que vous avez une bécae dont la config est loin d'être
optimale, avec des trous de sécurité partout et plein d'applis AMA
inutiles.
Les traces d'un cheval de Troie sont présentes, vérifiez que le fichier
wsem*.dll figure sur votre disque. Si tel est le cas vous êtes contaminé
par
Dyfuca ou une de ses variantes.
Vérifiez également que vous n'êtes pas troué par
Sinon, votre bécane fait tourner Treewalk en DNS local, vous n'avez pas
besoin d'ajouter une tartine d'autres adresses : Treewalk se charge de
tout.
C:WINDOWSsystem32inetsrvinetinfo.exe
Inetinfo correspond normalement aux services IIS, mais est également
utilisé
par le ver W32.Rontokbro.K@mm pour se dissimuler. Vérifiez que
l'exécutable
soit bien celui de Microsoft (bouton droit => propriétés => version)
Avez-vous besoin d'IIS, qui pose d'énormes problèmes de sécurité ?
C:Program FilesFichiers communsMicrosoft SharedWeb Server
Extensions50binOWSTIMER.EXE
MS SharePoint. N'a rien à faire sur un PC domestique.
C:squidsbinsquid.exe
Mandataire Squid. Qu'est-ce qu'il fout là ? Pose de très graves problèmes
de sécurité si mal configuré.
C:WINDOWSsystem32dnsbinnamed.exe
Vérifiez la version.
C:Program FilesPopTrayPopTray.exe
Normalement inoffensif, mais pourquoi avez-vous besoin d'un truc qui va
vérifier que vous avez du courrier en POP3 alors que tous les logiciels de
messagerie le font ?
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Scories pouvant être liée au cheval de Troie Dyfuca.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:binJavajrebinssv.dll
Hijack de la machine virtuelle MS par Sun. Pas de risque, mais toujours
amusant de constater que les "grands" font comme les Jean-Kévin.
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
Scories de Bit Defender. Vous savez, un seul AV suffit...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
Bit Defender re, et Panda. Deux de trop : vous utilisez NAV, non ?
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxLiveShare.exe
Grrr.
Au final je dirais que vous avez une bécae dont la config est loin d'être
optimale, avec des trous de sécurité partout et plein d'applis AMA
inutiles.
Les traces d'un cheval de Troie sont présentes, vérifiez que le fichier
wsem*.dll figure sur votre disque. Si tel est le cas vous êtes contaminé
par
Dyfuca ou une de ses variantes.
Vérifiez également que vous n'êtes pas troué par W32.Rontokbro.K@mm.
Sinon, votre bécane fait tourner Treewalk en DNS local, vous n'avez pas
besoin d'ajouter une tartine d'autres adresses : Treewalk se charge de
tout.
C:WINDOWSsystem32inetsrvinetinfo.exe
Inetinfo correspond normalement aux services IIS, mais est également
utilisé
par le ver pour se dissimuler. Vérifiez que
l'exécutable
soit bien celui de Microsoft (bouton droit => propriétés => version)
Avez-vous besoin d'IIS, qui pose d'énormes problèmes de sécurité ?
C:Program FilesFichiers communsMicrosoft SharedWeb Server
Extensions50binOWSTIMER.EXE
MS SharePoint. N'a rien à faire sur un PC domestique.
C:squidsbinsquid.exe
Mandataire Squid. Qu'est-ce qu'il fout là ? Pose de très graves problèmes
de sécurité si mal configuré.
C:WINDOWSsystem32dnsbinnamed.exe
Vérifiez la version.
C:Program FilesPopTrayPopTray.exe
Normalement inoffensif, mais pourquoi avez-vous besoin d'un truc qui va
vérifier que vous avez du courrier en POP3 alors que tous les logiciels de
messagerie le font ?
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Scories pouvant être liée au cheval de Troie Dyfuca.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:binJavajrebinssv.dll
Hijack de la machine virtuelle MS par Sun. Pas de risque, mais toujours
amusant de constater que les "grands" font comme les Jean-Kévin.
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
Scories de Bit Defender. Vous savez, un seul AV suffit...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
Bit Defender re, et Panda. Deux de trop : vous utilisez NAV, non ?
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxLiveShare.exe
Grrr.
Au final je dirais que vous avez une bécae dont la config est loin d'être
optimale, avec des trous de sécurité partout et plein d'applis AMA
inutiles.
Les traces d'un cheval de Troie sont présentes, vérifiez que le fichier
wsem*.dll figure sur votre disque. Si tel est le cas vous êtes contaminé
par
Dyfuca ou une de ses variantes.
Vérifiez également que vous n'êtes pas troué par
Sinon, votre bécane fait tourner Treewalk en DNS local, vous n'avez pas
besoin d'ajouter une tartine d'autres adresses : Treewalk se charge de
tout.
Les services de windows compromis étaient « winlogon » et «
services.exe » :
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifymsctl32.dll
HKLMSYSTEMControlSet001Servicesi386p
Clef REG_SZ_EXPAND : ImagePath
Contenu : ??C:WINDOWSsystem32driversi386p.sys
HKLMSYSTEMControlSet002Servicesi386p
Idem ci-dessus.
J'ai bien sûr viré toutes les clefs concernées.
Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette
attaque combinée. A quand la trithérapie pour les ordinateurs ?
Les services de windows compromis étaient « winlogon » et «
services.exe » :
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifymsctl32.dll
HKLMSYSTEMControlSet001Servicesi386p
Clef REG_SZ_EXPAND : ImagePath
Contenu : ??C:WINDOWSsystem32driversi386p.sys
HKLMSYSTEMControlSet002Servicesi386p
Idem ci-dessus.
J'ai bien sûr viré toutes les clefs concernées.
Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette
attaque combinée. A quand la trithérapie pour les ordinateurs ?
Les services de windows compromis étaient « winlogon » et «
services.exe » :
HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifymsctl32.dll
HKLMSYSTEMControlSet001Servicesi386p
Clef REG_SZ_EXPAND : ImagePath
Contenu : ??C:WINDOWSsystem32driversi386p.sys
HKLMSYSTEMControlSet002Servicesi386p
Idem ci-dessus.
J'ai bien sûr viré toutes les clefs concernées.
Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette
attaque combinée. A quand la trithérapie pour les ordinateurs ?