DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 21 Sep 2024 à 6:42 FAQ | Rechercher | Membres | Groupes

J'suis attaqué : )


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
franck2079



Inscrit le: 12 Aoû 2006
Messages: 9
MessagePosté le: 30 Sep 2006 à 23:03    Sujet du message: J'suis attaqué : ) Répondre en citant
Salut à tous,

En ce moment j'ai avast qui m'averti assez régulièrement sur des cheval de troie.
Du coup j'viens de faire un p'tit coup de hijackthis pour voir si n'y avait pas de trucs space : )

J'ai en effet 2 process qui sont space :
nvsvcd.exe
smss.exe

Mais comme j'suis encore novice dans l'etude de ces logs j'prefere m'en remettre à des pro : )

Citation:
Log supprimé


Si j'arrete les processus et que je supprime les fichiers exe ca suffira ? Ou il faut appliquer une autre méthode ??

Merci d'avance pour votre aide Smile  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328
MessagePosté le: 30 Sep 2006 à 23:19    Sujet du message: Répondre en citant
Bonjour,

La methode appropriée je la verrais comme ca

ouvre le bloc note

fais un copier coller du text en citation

Citation:
@echo off
SC stop Windows Log
sc delete Windows Log
attrib -r -h C:\WINDOWS\system32\nvsvcd.exe
del /a /q C:\WINDOWS\system32\nvsvcd.exe
attrib -r -h C:\WINDOWS\system\smss.exe
del /a /q -r -h C:\WINDOWS\system\smss.exe


enregistre le fichier en le nommant supp.bat
attention il est important que l'extention soit .bat et non .bat.txt


- Redémarre en mode sans echec
Relance hijackthis, coche puis fixe cette ligne

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

- quitte hijackthis

double clique sur le fichier supp.bat

- redemarre en mode normal et refais un log hijackthis de controle

a+  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
franck2079



Inscrit le: 12 Aoû 2006
Messages: 9
MessagePosté le: 01 Oct 2006 à 12:05    Sujet du message: Répondre en citant
Salut,

Voici le log résultat de tes conseils :

Citation:

Log supprimé


Ca a bien viré le smss, par contre le second apparait toujours mais avec l'info "File missing", donc à priori ca ne devrait plus faire de mal mais il y a pas un moyen de virer cette ligne ??

En tout cas merci : )  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
MessagePosté le: 01 Oct 2006 à 12:23    Sujet du message: Répondre en citant
Salut,

il te reste la ligne :

O
Citation:
23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)


A supprimer, sinon ca à l'air clean Smile

Dis nous si les alertes continuent.
_________________
Smile
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328
MessagePosté le: 01 Oct 2006 à 13:01    Sujet du message: Répondre en citant
Bonjour,

On va essayer un truc et notement un petit batch que je viend de terminer.

Ce dernier est encore en version beta par consequent rien ne t'oblige à l'utiliser je viend juste de le terminer hier bien que tous mes essais sont concluants je préfère que ce soit utilisé en pleine connaissance de cause.

au cas ou

Télécharge http://telechargement.cfasi.net/service.zip

décompresse le à la racine du disque systeme (tu devrais donc avoir un dossier nommé "service"

doubleclique sur service.bat (pas sur les autres)

entre le nom du service recherché en l'occurence
Windows Log
puis valide par entrée.

Si le service est trouvé dans la base de registre la batch l'affichera ainsi que queslques informations.

controle bien ces informations
nom du service: windows Log
nom du fchier associé: C:\WINDOWS\system32\nvsvcd.exe
(le fichier devrait donc apparaitre manquant.)

si c'est OK choisis donc "S" pour supprimer les entrées de registre quitte une fois terminé et post le rapport généré.

Ce batch cré une copie de sauvegarde des clés de registre supprimées (au cas ou) dans le dossier "sauvegarde"

Si cela ne fonctionne pas on utilisera hijackthis
a+  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum