[Résolu] Worm RBOT

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Salut,

Depuis 2 jours mon PC envoie une quantité énorme de mail à des @ inconnu sans que outloock soit ouvert. Bien que Norton bloque un certain nombre de message le fonctionnement en tout de même polué.

J'ai déjà scanné avec Ewido mon PC et effacé les premier fichiers corrompus (coockies).

Trouvez ci-joint le fichier hijackthi.log pour info:

[LOG Hijackthis supprimé]

Merci d'avance

Lenouvdu44 · Posté le: 16 Nov 2005 à 23:31 Sujet du message:

Déjà, fait un test antivirus, et antitrojan (spybot ET ad-aware) le tout à jour !
Tu nous redonnera un log hijackthis après.
_________________
L'nouv qui devient L'vieux

vin-moi · Posté le: 17 Nov 2005 à 13:52 Sujet du message:

salut, supprime aussi ces lignes si tu connais pas :

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
_________________

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Hello,

Je n'ai pas donné suite immédiatement car j'étais en déplacement professionnelle.
J'ai effacé la ligne indiquée
"O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe".

J'avais omis de dire que la fonction regedit ne marchais plus. Après avoir scanné le pc avec Ewido, supprimer cette ligne, je peux à nouveau ouvrir regedit.
En classant par ordre chronologique les fichiers placé sous le répertoire \windows\system32 j'ai trouvé 2 fichiers bizarres "noat.exe" et "forõ.exe" qui ont une date qui pourrait correspondre au début de l'infection du pc.
Je les ai effacés sur le champ, confirmez moi mon action.

Lenouvdu44 · Posté le: 18 Nov 2005 à 23:08 Sujet du message:

Moi je diis bonne action, je ne les connais pas et de ce que je lis, tu n'a pas eu tord ...
Voir avec d'autre avis.
_________________
L'nouv qui devient L'vieux

vin-moi · Posté le: 18 Nov 2005 à 23:25 Sujet du message:

Je confirme aussi Smile

_________________

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Je viens de rebooter le pc, trouvez le fichier hijackthis après nettoyage:

[LOG Hijackthis supprimé]

Merci pour les bons tuyaux.

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Bonjour,
Le dernier log ne laisse apparaitre aucune infection active cependant aux vues des deux fichiers que tu as supprimé il serait bon d'inclure un scan en ligne http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

Sauvegarde et fais un copier coller du rapport si besoin

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Hello,

Durant le scan du pc par pandasoftware Norton qui toujours actif en arrière plan a trouver un Troian qu'il à supprimé.

Ci-joint le rapport de l'expertise en ligne:

Incident: Spyware:spyware/searchcentrix
Status:No Désinfecté
Analyse:C:\WINDOWS\SYSTEM32\IfHelper.dll

Que fut-il faire maintenant supprimer le fichier IfHelper.ddl?

Merci @+,

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

non cette infection n'est en fait qu'un "faux positif" de la part de norton (idem pour avast) il suffit de recommencer la procedure de scan en ligne sur panda en desactivant norton le temps du scan sans oublier de le réactiver apres le scan bien sur

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Salut,

Depuis la dernière intervention le système fonctionne bien.
Je suis en train de faire le ménage sur c:\ pour diminuer la taille de cette partition pour faire une image pour prévenir de la prochaine infection.
Là j'ai trouvé une repertoire daté du jour de l'attaque virale qui s'appelle: C:\Program Files\PConPoint\logs.
2 fichiers .log s'y trouvent avec la structure suivante :
Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation\save

ValueName : SourcePathTemp

Value : d:\i386

Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation

ValueName : CheminExe

Value : f:\data

Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation

ValueName : NomExe

Value : f:\data\kitwan~7.exe

Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup

ValueName : JITSetupPage

Value : c:\windows\web\iejit.htm

Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Client\Extensions

ValueName : Remote Exchange Extensions

Value : c:\windows\system32\emsui32.dll;6;111;111

Key : HKEY_LOCAL_MACHINE\Software\Microsoft\IMAPI\StashInfo

ValueName : StashPath

Value : c:\windows\temp\stashimapi.bin

Key : HKEY_LOCAL_MACHINE\Software\Microsoft\MediaPlayer

ValueName : MetadataTemplatesDir

Value : c:\program files\windows media player\templates

Est- un reste d'un spy ou tout simplement un fichier d'un résultat de scan ou tout simplement système?
Si nécessaire me dire s'il faut l'éffacer.

Merci.

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Bnojour,
A priori c'est un fichier log d'un programme censé réparer d'eventuel probleme de PC (fichier corrompu par exemple) PC on Point

En tout etat de cause si ce programme t'est inconnu supprime le sans etat d'ame
(eventuellement le sauvegarder quelques jours le temps de confirmer qu'aucun probleme ne survienne.

D'gills · Inscrit le: 16 Nov 2005 Messages: 6

Merci Laurent de tous tes conseils avisés et surtout ta réactivité!

@+

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Pas de probleme,

Bonne continuation

Bienvenue : Connexion \| Inscription
La date/heure actuelle est 22 Nov 2024 à 19:42	FAQ \| Rechercher \| Membres \| Groupes

[Résolu] Worm RBOT
Ce que nous vous conseillons : Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.

	DepanneTonPC Index du Forum -> Sécurité	Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1