DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 13 Nov 2024 à 16:12 FAQ | Rechercher | Membres | Groupes

[Résolu] Besoin d'aide avec Hijack This


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 15 Déc 2005 à 19:45    Sujet du message: [Résolu] Besoin d'aide avec Hijack This Répondre en citant

Bonjour.

Spybot me trouve deux entrées que je n'arrive pas a effacer.
Il s'agit de command service et max search.

J'ai essayé par Regedit, Regcleaner, Adaware, A-squared (A2), Ccleaner et l'antivirus (Avast!).

J'en arrive au bout de mes cmpétences et je fait donc appel à vous pour m'aider sur la base de ce rapport Hijack This.

D'avance merci.



[ *** scan hijackthis supprimé par Laurent *** ]



Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 15 Déc 2005 à 20:35    Sujet du message: Répondre en citant

J'ai aussi essayé de les virer avec spybot en mode sans echec, ça n'a pas marché non plus.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 15 Déc 2005 à 20:41    Sujet du message: Répondre en citant

Bonjour,

command services est loin d'etre le plus inquietant dans ton log desole de te l'apprendre mais de beau virus tel que GAOBOT y est present, en plus de quelques spy ou autre cochonneries


telecharge cet utilitaire et utilise le http://www.sarc.com/avcenter/venc/data/w32.gaobot.removal.tool.html

redemarre en mode sans echec

relance hijackthis (scanner seulement) et coche ces lignes si présentes

O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [NeroFil] NeroFil.EXE
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsfd.exe
O4 - HKCU\..\Run: [NeroFil] NeroFil.EXE
O4 - HKCU\..\RunServices: [NeroFil] NeroFil.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file)

clique sur fixer objet

demarrer executer tape services.msc
recherche dans la liste NetDDE Server
double clique dessus et a type de demarrage choisis desactive

recherche et supprime ces fichiers

C:\WINDOWS\System32\ntsfd.exe
C:\windows\adtech2006a.exe
C:\WINDOWS\System32\NeroFil.EXE
C:\windows\timessquare.exe


dans ajout suppression de programme recherche et desinstalle si present
NukeNabber

supprime ce dossier
C:\Program Files\NukeNabber

redemarre en mode normal et refais un log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 15 Déc 2005 à 21:53    Sujet du message: Répondre en citant

Merci.

Mais Gaobot ne semble pas être présent sur la machine en tout cas c'est ce que dit le fixer vers lequel tu m'as dirigé.

J'ai suivi le reste d ela procedure quand même et ai trouvé le slignes indiquées. Je les ai fixées.
J'ai trouvé et supprimé les fichiers indiqués et désinstallé Nukenaber et viré son dossier (ouf!).

Par contre Spybot me trouve toujours trois problemes (LSA, Command service et MAx search)

Voila le nouveau log HijackThis:


[ *** scan hijackthis supprimé par Laurent *** ]



Shock 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 15 Déc 2005 à 22:14    Sujet du message: Répondre en citant

On m'a aussi conseillé de faire un scan online avec Bitdefender, et j'ai été surpris de rtrouver dans les logs du scan notre ami ntsfd.exe, infecté par un trojan repondant au doux nom de Backdoor.Rbot.BNH Exclamation  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 16 Déc 2005 à 6:32    Sujet du message: Répondre en citant

Pour ce qui est du log il est presque OK

fixe cette ligne (toujours en mode sans echec)

O4 - HKLM\..\Run: [SOUDMAN] SOUNDMAN.EXE


Pour gaobot le probleme c'est que l'utilitaire ne couvre pas toutes les versions de cette cochonnerie voici du même editeur un second fixe pour une autre version http://www.sarc.com/avcenter/venc/data/w32.gaobot.uj.removal.tool.html

Concernant Rbot je n'en suis pas certain que ce soit bien lui qui est caché dans ce fichier car certains points caracteristiques de sa presence ne sont pas dans ton log... Et actuellement les editeurs d'antivirus nommant un même troyen ou autre chacun de leur coté on arrive avec des dizaines de noms pour la même cochonnerie donc pas facile d'y voir clair.

Une petit utilitaire permettant de traiter Rbot et Agobot si des traces persistent Outil de suppression de logiciels malveillants Microsoft®



Maintenant il faut passer a un petit nettoyage car ce que detecte spyboot sont des cookies
donc utilisation de Ccleaner et Regcleaner en mode sans echec en controlant au préalable d'avoir mis à jour ces deux log.


Ensuite et cela nous aidera fais un scans ici avec internet explorer http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
sauvegarde et fais un copier coller du rapport en fin d'analyse. on verra ainsi ou sont detecte ces commandes services etc

Pas besoin de nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 18:17    Sujet du message: Répondre en citant

Ligne fixée.

Le remooval tool ne trouve toujours rien, pas plus que l'outil Microsoft.

Nettoyage avec Regcleaner et Ccleaner ok.

Rapport panda:

Citation:

Incident Statut Analyse

Adware:adware/sqwire Non désinfecté C:\WINDOWS\SYSTEM32\tsuninst.exe
Adware:adware/dollarrevenue Non désinfecté C:\WINDOWS\drsmartload.dat
Adware:adware/popupsandbannersNon désinfecté C:\WINDOWS\teller2.chk
Adware:adware/maxifiles Non désinfecté C:\PROGRAM FILES\FICHIERS COMMUNS\Windows
Adware:adware/commad Non désinfecté Registre Windows
Adware:Adware/Sqwire Non désinfecté C:\Program Files\Fichiers communs\wuzf\wuzfd\wuzfc.dll
Adware:Adware/DollarRevenue Non désinfecté C:\suhde.exe
Adware:Adware/Noname Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\adtech2006a[1].exe
Adware:Adware/CommAd Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6VG56Z2V\timessquare[1].exe
Adware:Adware/DollarRevenue Non désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OR4J0ZY7\drsmartload[1].exe
Adware:Adware/Sqwire Non désinfecté C:\WINDOWS\system32\tsuninst.exe


A noter que nous avons repéré et a priori éliminé Smitfraud grace a un autre forum.

C'est la guerre!
Confused



Voici mon post sur CCM, au cas ou ca puisse aider, les diagnostics sont differents.


http://www.commentcamarche.net/forum/affich-1981056-%5BHijackThis%5D-Rapport-deux-spywares-coriaces 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 16 Déc 2005 à 20:02    Sujet du message: Répondre en citant

Citation:
En regardant mon log, j'ai remarqué cette ligne:

C:\WINDOWS\Explorer.EXE


Dans un autre post quelqu'un a indiqué que le .EXE en majuscules etait louche.

C'est qu'a force je vais finir par comprendre ^^


le .EXE n 'a rien de bizzare, c'est comme ca chez tout le monde Wink
_________________
Smile
 


Dernière édition par vin-moi le 16 Déc 2005 à 20:05; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 20:03    Sujet du message: Répondre en citant

Ha... ok. J'aurai essayé Rolling Eyes  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
vin-moi
Administrateur


Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France

MessagePosté le: 16 Déc 2005 à 20:06    Sujet du message: Répondre en citant

Je te conseille d'opter pour BitDefender 8 Free édition à la place de Avast! qui sera, à mon avis, bien plus éfficace Smile
_________________
Smile
 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 20:57    Sujet du message: Répondre en citant

J'essaye en ce moment même Exclamation  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 21:16    Sujet du message: Répondre en citant

//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Created on: 16/12/2005 19:54:10
//
//-----------------------------------------------------------------


Statistics

Scan path : C:\
F:\
Folders : 2821
Files : 210052
Archives : 791
Packed files : 14378
Identified viruses : 0
Infected files : 0
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 0
Renamed files : 0
I/O errors : 29
Scan time : 00:21:20
Scan speed (files/sec) : 164

Virus definitions : 246315
Scan plugins : 13
Archive plugins : 39
Unpack plugins : 4
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report



Lui non plus ne trouve rien... Evil or Very Mad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 16 Déc 2005 à 21:40    Sujet du message: Répondre en citant

si je suis le dernier log (ewido) fournit sur l'autre question il ne reste rien d'infectieux sur cette machine. Juste des cookies et des fichiers temp que Ccleaner supprimera en mode sans echec sans le moindre souci.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 22:23    Sujet du message: Répondre en citant

Ok j'essaye et je vous tient au courant.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Momote



Inscrit le: 15 Déc 2005
Messages: 11

MessagePosté le: 16 Déc 2005 à 23:57    Sujet du message: Répondre en citant

LA solution est venue de Spysweeper, plus de traces dans spybot.

Je met un dernier HJT, si quelqu'un peut me confirmer que tout est clean.




[ *** scan hijackthis supprimé par Laurent *** ]


Merci de m'avoir aidé ^^ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum