[Momote]

Bonjour.

Spybot me trouve deux entrées que je n'arrive pas a effacer.
Il s'agit de command service et max search.

J'ai essayé par Regedit, Regcleaner, Adaware, A-squared (A2), Ccleaner et l'antivirus (Avast!).

J'en arrive au bout de mes cmpétences et je fait donc appel à vous pour m'aider sur la base de ce rapport Hijack This.

D'avance merci.



[ *** scan hijackthis supprimé par Laurent *** ]


 

[Momote]

J'ai aussi essayé de les virer avec spybot en mode sans echec, ça n'a pas marché non plus. 

[!aur3n7]

Bonjour,

command services est loin d'etre le plus inquietant dans ton log desole de te l'apprendre mais de beau virus tel que GAOBOT y est present, en plus de quelques spy ou autre cochonneries


telecharge cet utilitaire et utilise le http://www.sarc.com/avcenter/venc/data/w32.gaobot.removal.tool.html

redemarre en mode sans echec

relance hijackthis (scanner seulement) et coche ces lignes si présentes

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKCU\..\Run: [NeroFil] NeroFil.EXE
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

clique sur fixer objet

demarrer executer tape services.msc
recherche dans la liste NetDDE Server
double clique dessus et a type de demarrage choisis desactive

recherche et supprime ces fichiers

C:\WINDOWS\System32\ntsfd.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\NeroFil.EXE
C:\windows\timessquare.exe


dans ajout suppression de programme recherche et desinstalle si present
NukeNabber

supprime ce dossier
C:\Program Files\NukeNabber

redemarre en mode normal et refais un log hijackthis 

[Momote]

Merci.

Mais Gaobot ne semble pas être présent sur la machine en tout cas c'est ce que dit le fixer vers lequel tu m'as dirigé.

J'ai suivi le reste d ela procedure quand même et ai trouvé le slignes indiquées. Je les ai fixées.
J'ai trouvé et supprimé les fichiers indiqués et désinstallé Nukenaber et viré son dossier (ouf!).

Par contre Spybot me trouve toujours trois problemes (LSA, Command service et MAx search)

Voila le nouveau log HijackThis:


[ *** scan hijackthis supprimé par Laurent *** ]


 

[Momote]

On m'a aussi conseillé de faire un scan online avec Bitdefender, et j'ai été surpris de rtrouver dans les logs du scan notre ami ntsfd.exe, infecté par un trojan repondant au doux nom de Backdoor.Rbot.BNH  

[!aur3n7]

Pour ce qui est du log il est presque OK

fixe cette ligne (toujours en mode sans echec)

O4 - HKLM\..\Run: [SOUDMAN] SOUNDMAN.EXE


Pour gaobot le probleme c'est que l'utilitaire ne couvre pas toutes les versions de cette cochonnerie voici du même editeur un second fixe pour une autre version http://www.sarc.com/avcenter/venc/data/w32.gaobot.uj.removal.tool.html

Concernant Rbot je n'en suis pas certain que ce soit bien lui qui est caché dans ce fichier car certains points caracteristiques de sa presence ne sont pas dans ton log... Et actuellement les editeurs d'antivirus nommant un même troyen ou autre chacun de leur coté on arrive avec des dizaines de noms pour la même cochonnerie donc pas facile d'y voir clair.

Une petit utilitaire permettant de traiter Rbot et Agobot si des traces persistent Outil de suppression de logiciels malveillants Microsoft®



Maintenant il faut passer a un petit nettoyage car ce que detecte spyboot sont des cookies
donc utilisation de Ccleaner et Regcleaner en mode sans echec en controlant au préalable d'avoir mis à jour ces deux log.


Ensuite et cela nous aidera fais un scans ici avec internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
sauvegarde et fais un copier coller du rapport en fin d'analyse. on verra ainsi ou sont detecte ces commandes services etc

Pas besoin de nouveau log hijackthis 

[Momote]

Ligne fixée.

Le remooval tool ne trouve toujours rien, pas plus que l'outil Microsoft.

Nettoyage avec Regcleaner et Ccleaner ok.

Rapport panda:

[vin-moi]

[Momote]

Ha... ok. J'aurai essayé  

[vin-moi]

Je te conseille d'opter pour BitDefender 8 Free édition à la place de Avast! qui sera, à mon avis, bien plus éfficace
_________________

 

[Momote]

J'essaye en ce moment même  

[Momote]

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Created on: 16/12/2005 19:54:10
//
//-----------------------------------------------------------------


Statistics

Scan path : C:\
F:\
Folders : 2821
Files : 210052
Archives : 791
Packed files : 14378
Identified viruses : 0
Infected files : 0
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 0
Renamed files : 0
I/O errors : 29
Scan time : 00:21:20
Scan speed (files/sec) : 164

Virus definitions : 246315
Scan plugins : 13
Archive plugins : 39
Unpack plugins : 4
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report



Lui non plus ne trouve rien...  

[!aur3n7]

si je suis le dernier log (ewido) fournit sur l'autre question il ne reste rien d'infectieux sur cette machine. Juste des cookies et des fichiers temp que Ccleaner supprimera en mode sans echec sans le moindre souci. 

[Momote]

Ok j'essaye et je vous tient au courant. 

[Momote]

LA solution est venue de Spysweeper, plus de traces dans spybot.

Je met un dernier HJT, si quelqu'un peut me confirmer que tout est clean.




[ *** scan hijackthis supprimé par Laurent *** ]

Merci de m'avoir aidé ^^