Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 15 Déc 2005 à 19:45 Sujet du message: [Résolu] Besoin d'aide avec Hijack This |
|
|
Bonjour.
Spybot me trouve deux entrées que je n'arrive pas a effacer.
Il s'agit de command service et max search.
J'ai essayé par Regedit, Regcleaner, Adaware, A-squared (A2), Ccleaner et l'antivirus (Avast!).
J'en arrive au bout de mes cmpétences et je fait donc appel à vous pour m'aider sur la base de ce rapport Hijack This.
D'avance merci.
[ *** scan hijackthis supprimé par Laurent *** ]
|
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 15 Déc 2005 à 20:35 Sujet du message: |
|
|
J'ai aussi essayé de les virer avec spybot en mode sans echec, ça n'a pas marché non plus. |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 15 Déc 2005 à 20:41 Sujet du message: |
|
|
Bonjour,
command services est loin d'etre le plus inquietant dans ton log desole de te l'apprendre mais de beau virus tel que GAOBOT y est present, en plus de quelques spy ou autre cochonneries
telecharge cet utilitaire et utilise le http://www.sarc.com/avcenter/venc/data/w32.gaobot.removal.tool.html
redemarre en mode sans echec
relance hijackthis (scanner seulement) et coche ces lignes si présentes
O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKCU\..\Run: [NeroFil] NeroFil.EXE
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
clique sur fixer objet
demarrer executer tape services.msc
recherche dans la liste NetDDE Server
double clique dessus et a type de demarrage choisis desactive
recherche et supprime ces fichiers
C:\WINDOWS\System32\ntsfd.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\NeroFil.EXE
C:\windows\timessquare.exe
dans ajout suppression de programme recherche et desinstalle si present
NukeNabber
supprime ce dossier
C:\Program Files\NukeNabber
redemarre en mode normal et refais un log hijackthis |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 15 Déc 2005 à 21:53 Sujet du message: |
|
|
Merci.
Mais Gaobot ne semble pas être présent sur la machine en tout cas c'est ce que dit le fixer vers lequel tu m'as dirigé.
J'ai suivi le reste d ela procedure quand même et ai trouvé le slignes indiquées. Je les ai fixées.
J'ai trouvé et supprimé les fichiers indiqués et désinstallé Nukenaber et viré son dossier (ouf!).
Par contre Spybot me trouve toujours trois problemes (LSA, Command service et MAx search)
Voila le nouveau log HijackThis:
[ *** scan hijackthis supprimé par Laurent *** ]
|
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 15 Déc 2005 à 22:14 Sujet du message: |
|
|
On m'a aussi conseillé de faire un scan online avec Bitdefender, et j'ai été surpris de rtrouver dans les logs du scan notre ami ntsfd.exe, infecté par un trojan repondant au doux nom de Backdoor.Rbot.BNH |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 16 Déc 2005 à 6:32 Sujet du message: |
|
|
Pour ce qui est du log il est presque OK
fixe cette ligne (toujours en mode sans echec)
O4 - HKLM\..\Run: [SOUDMAN] SOUNDMAN.EXE
Pour gaobot le probleme c'est que l'utilitaire ne couvre pas toutes les versions de cette cochonnerie voici du même editeur un second fixe pour une autre version http://www.sarc.com/avcenter/venc/data/w32.gaobot.uj.removal.tool.html
Concernant Rbot je n'en suis pas certain que ce soit bien lui qui est caché dans ce fichier car certains points caracteristiques de sa presence ne sont pas dans ton log... Et actuellement les editeurs d'antivirus nommant un même troyen ou autre chacun de leur coté on arrive avec des dizaines de noms pour la même cochonnerie donc pas facile d'y voir clair.
Une petit utilitaire permettant de traiter Rbot et Agobot si des traces persistent Outil de suppression de logiciels malveillants Microsoft®
Maintenant il faut passer a un petit nettoyage car ce que detecte spyboot sont des cookies
donc utilisation de Ccleaner et Regcleaner en mode sans echec en controlant au préalable d'avoir mis à jour ces deux log.
Ensuite et cela nous aidera fais un scans ici avec internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
sauvegarde et fais un copier coller du rapport en fin d'analyse. on verra ainsi ou sont detecte ces commandes services etc
Pas besoin de nouveau log hijackthis |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 18:17 Sujet du message: |
|
|
Ligne fixée.
Le remooval tool ne trouve toujours rien, pas plus que l'outil Microsoft.
Nettoyage avec Regcleaner et Ccleaner ok.
Rapport panda:
Citation: |
Incident Statut Analyse
Adware:adware/sqwire Non désinfecté C:\WINDOWS\SYSTEM32\tsuninst.exe
Adware:adware/dollarrevenue Non désinfecté C:\WINDOWS\drsmartload.dat
Adware:adware/popupsandbannersNon désinfecté C:\WINDOWS\teller2.chk
Adware:adware/maxifiles Non désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\Windows
Adware:adware/commad Non désinfecté Registre Windows
Adware:Adware/Sqwire Non désinfecté C:\Program Files\Fichiers communs\wuzf\wuzfd\wuzfc.dll
Adware:Adware/DollarRevenue Non désinfecté C:\suhde.exe
Adware:Adware/Noname Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\adtech2006a[1].exe
Adware:Adware/CommAd Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\timessquare[1].exe
Adware:Adware/DollarRevenue Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OR4J0ZY7\drsmartload[1].exe
Adware:Adware/Sqwire Non désinfecté C:\WINDOWS\system32\tsuninst.exe
|
A noter que nous avons repéré et a priori éliminé Smitfraud grace a un autre forum.
C'est la guerre!
Voici mon post sur CCM, au cas ou ca puisse aider, les diagnostics sont differents.
http://www.commentcamarche.net/forum/affich-1981056-%5BHijackThis%5D-Rapport-deux-spywares-coriaces |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 16 Déc 2005 à 20:02 Sujet du message: |
|
|
Citation: |
En regardant mon log, j'ai remarqué cette ligne:
C:\WINDOWS\Explorer.EXE
Dans un autre post quelqu'un a indiqué que le .EXE en majuscules etait louche.
C'est qu'a force je vais finir par comprendre ^^ |
le .EXE n 'a rien de bizzare, c'est comme ca chez tout le monde _________________
Dernière édition par vin-moi le 16 Déc 2005 à 20:05; édité 1 fois |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 20:03 Sujet du message: |
|
|
Ha... ok. J'aurai essayé |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 16 Déc 2005 à 20:06 Sujet du message: |
|
|
Je te conseille d'opter pour BitDefender 8 Free édition à la place de Avast! qui sera, à mon avis, bien plus éfficace _________________ |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 20:57 Sujet du message: |
|
|
J'essaye en ce moment même |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 21:16 Sujet du message: |
|
|
//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Created on: 16/12/2005 19:54:10
//
//-----------------------------------------------------------------
Statistics
Scan path : C:\
F:\
Folders : 2821
Files : 210052
Archives : 791
Packed files : 14378
Identified viruses : 0
Infected files : 0
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 0
Renamed files : 0
I/O errors : 29
Scan time : 00:21:20
Scan speed (files/sec) : 164
Virus definitions : 246315
Scan plugins : 13
Archive plugins : 39
Unpack plugins : 4
Mail plugins : 6
System plugins : 1
Scan options
Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email
File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;
Action
Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user
Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user
Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report
Lui non plus ne trouve rien... |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 16 Déc 2005 à 21:40 Sujet du message: |
|
|
si je suis le dernier log (ewido) fournit sur l'autre question il ne reste rien d'infectieux sur cette machine. Juste des cookies et des fichiers temp que Ccleaner supprimera en mode sans echec sans le moindre souci. |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 22:23 Sujet du message: |
|
|
Ok j'essaye et je vous tient au courant. |
|
Revenir en haut de page |
|
|
Momote
Inscrit le: 15 Déc 2005 Messages: 11
|
Posté le: 16 Déc 2005 à 23:57 Sujet du message: |
|
|
LA solution est venue de Spysweeper, plus de traces dans spybot.
Je met un dernier HJT, si quelqu'un peut me confirmer que tout est clean.
[ *** scan hijackthis supprimé par Laurent *** ]
Merci de m'avoir aidé ^^ |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|