DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 22 Nov 2024 à 13:53 FAQ | Rechercher | Membres | Groupes

[Résolu] Worm RBOT


 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 16 Nov 2005 à 23:23    Sujet du message: [Résolu] Worm RBOT Répondre en citant

Salut,

Depuis 2 jours mon PC envoie une quantité énorme de mail à des @ inconnu sans que outloock soit ouvert. Bien que Norton bloque un certain nombre de message le fonctionnement en tout de même polué.

J'ai déjà scanné avec Ewido mon PC et effacé les premier fichiers corrompus (coockies).

Trouvez ci-joint le fichier hijackthi.log pour info:

[LOG Hijackthis supprimé]

Merci d'avance 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 16 Nov 2005 à 23:31    Sujet du message: Répondre en citant

Déjà, fait un test antivirus, et antitrojan (spybot ET ad-aware) le tout à jour !
Tu nous redonnera un log hijackthis après.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 17 Nov 2005 à 13:52    Sujet du message: Répondre en citant

salut, supprime aussi ces lignes si tu connais pas :

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 18 Nov 2005 à 19:37    Sujet du message: Répondre en citant

vin-moi a écrit:
salut, supprime aussi ces lignes si tu connais pas :

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe


Bonjour,
Je rajouterais même supprime dans tout les cas car c'est un troyen

J'analyse le reste du log un peu plus tard. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 18 Nov 2005 à 23:03    Sujet du message: Répondre en citant

Hello,

Je n'ai pas donné suite immédiatement car j'étais en déplacement professionnelle.
J'ai effacé la ligne indiquée
"O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe".

J'avais omis de dire que la fonction regedit ne marchais plus. Après avoir scanné le pc avec Ewido, supprimer cette ligne, je peux à nouveau ouvrir regedit.
En classant par ordre chronologique les fichiers placé sous le répertoire \windows\system32 j'ai trouvé 2 fichiers bizarres "noat.exe" et "forõ.exe" qui ont une date qui pourrait correspondre au début de l'infection du pc.
Je les ai effacés sur le champ, confirmez moi mon action. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 18 Nov 2005 à 23:08    Sujet du message: Répondre en citant

Moi je diis bonne action, je ne les connais pas et de ce que je lis, tu n'a pas eu tord ...
Voir avec d'autre avis.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 18 Nov 2005 à 23:25    Sujet du message: Répondre en citant

Je confirme aussi Smile
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 18 Nov 2005 à 23:52    Sujet du message: Répondre en citant

Je viens de rebooter le pc, trouvez le fichier hijackthis après nettoyage:

[LOG Hijackthis supprimé]

Merci pour les bons tuyaux. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2005 à 12:56    Sujet du message: Répondre en citant

Bonjour,
Le dernier log ne laisse apparaitre aucune infection active cependant aux vues des deux fichiers que tu as supprimé il serait bon d'inclure un scan en ligne http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

Sauvegarde et fais un copier coller du rapport si besoin 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 19 Nov 2005 à 14:09    Sujet du message: Répondre en citant

Hello,

Durant le scan du pc par pandasoftware Norton qui toujours actif en arrière plan a trouver un Troian qu'il à supprimé.

Ci-joint le rapport de l'expertise en ligne:

Incident: Spyware:spyware/searchcentrix
Status:No Désinfecté
Analyse:C:\WINDOWS\SYSTEM32\IfHelper.dll

Que fut-il faire maintenant supprimer le fichier IfHelper.ddl?

Merci @+, 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 19 Nov 2005 à 14:24    Sujet du message: Répondre en citant

non cette infection n'est en fait qu'un "faux positif" de la part de norton (idem pour avast) il suffit de recommencer la procedure de scan en ligne sur panda en desactivant norton le temps du scan sans oublier de le réactiver apres le scan bien sur  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 22 Nov 2005 à 20:26    Sujet du message: Répondre en citant

Salut,

Depuis la dernière intervention le système fonctionne bien.
Je suis en train de faire le ménage sur c:\ pour diminuer la taille de cette partition pour faire une image pour prévenir de la prochaine infection.
Là j'ai trouvé une repertoire daté du jour de l'attaque virale qui s'appelle: C:\Program Files\PConPoint\logs.
2 fichiers .log s'y trouvent avec la structure suivante :
Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation\save

ValueName : SourcePathTemp

Value : d:\i386



Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation

ValueName : CheminExe

Value : f:\data



Key : HKEY_LOCAL_MACHINE\Software\FRANCE TELECOM\WANADOO\V5.0\Installation

ValueName : NomExe

Value : f:\data\kitwan~7.exe



Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup

ValueName : JITSetupPage

Value : c:\windows\web\iejit.htm



Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Client\Extensions

ValueName : Remote Exchange Extensions

Value : c:\windows\system32\emsui32.dll;6;111;111



Key : HKEY_LOCAL_MACHINE\Software\Microsoft\IMAPI\StashInfo

ValueName : StashPath

Value : c:\windows\temp\stashimapi.bin



Key : HKEY_LOCAL_MACHINE\Software\Microsoft\MediaPlayer

ValueName : MetadataTemplatesDir

Value : c:\program files\windows media player\templates

Est- un reste d'un spy ou tout simplement un fichier d'un résultat de scan ou tout simplement système?
Si nécessaire me dire s'il faut l'éffacer.

Merci. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Nov 2005 à 20:37    Sujet du message: Répondre en citant

Bnojour,
A priori c'est un fichier log d'un programme censé réparer d'eventuel probleme de PC (fichier corrompu par exemple) PC on Point

En tout etat de cause si ce programme t'est inconnu supprime le sans etat d'ame
(eventuellement le sauvegarder quelques jours le temps de confirmer qu'aucun probleme ne survienne. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
D'gills



Inscrit le: 16 Nov 2005
Messages: 6

MessagePosté le: 22 Nov 2005 à 20:40    Sujet du message: Répondre en citant

Merci Laurent de tous tes conseils avisés et surtout ta réactivité!

@+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Nov 2005 à 20:50    Sujet du message: Répondre en citant

Pas de probleme,

Bonne continuation 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
 
Page 1 sur 1 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum