| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
 Posté le: 28 Nov 2006 à 19:49 Sujet du message: |
 |
|
En mode normal le rapport si possible.
Je pense avoir ciblé l'infection ou en partie car vu le rapport Combofix il n'y en a pas qu'une seule malheureusement.
Je prendrais donc un peu de temps pour te donner des opérations à effectuer le temps pour moi de faire quelques essais sur VM.
Au passage un rapport Gmer (toujours par mail si il est trop long) serait aussi appréciable.
A+ |
|
| Revenir en haut de page |
|
 |
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 02 Déc 2006 à 8:32 Sujet du message: |
|
|
Bonjour,
voici un log hijackthis
Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 02 Déc 2006 à 17:13 Sujet du message: |
|
|
Bonjour thene,
Voici donc la suite.
Avertissement :
Le script BFU a été fait par regroupement prenant en compte le résultat des différents logs et le résultat de recherche.
Il n'inclus pas toutes les actions pouvant être menées mais devrait cibler les plus importantes.
J'ai testé ce script à plusieurs reprises sur ma VM sans problème cependant la prudence reste de mise car un ordinateur ne réagira pas forcement de la même façon qu'un autre
Donc mon conseil avant de procéder à ce qui suit est de sauvegarder ses fichiers persos !
Pendant une période j'ai eu du mal à croire que cette question était bien réelle du fait du cumul d'infections comme par exemple cet iebar qui me parait légèrement dépassée
cela dit quand je vois ce genre de programme
C:\Documents and Settings\Famille\Bureau\W3XMapHack120E2.exe
ou encore Emule ca m'étonne deja beaucoup moins.
Sinon pour la suite des évennements
Lance wordpad (Demarrer > tous les programmes > accessoires > Wordpad
Fais un copier coller de ce texte en citaion
| Citation: |
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"
|
Enregistre ce fichier en le nommant Fix_exe.reg
Fais un clique droit dessus et choisis "fusionner"
Un message t'avertira du succes de l'opération
=> Télécharge Brute Force Uninstaller (BFU) (de Merijn). http://www.merijn.org/files/bfu.zip
* Décompresse-le dans un dossier à la racine du disque systeme (c:\BFU)
=> Télécharge thene.bfu http://cfasi.net/telechargement/thene.bfu
* Fais un click droit sur ce lien puis choisis enregistrer sous ou enregistrer la cible sous
* enregistre le dans le même dossier que BFU (c:\BFU)
attention il est important que l'entension soit .bfu et non .txt (thene.bfu) renomme le fichier si besoin
=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.
=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7939.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe 1
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - Global Startup: IE-Bar.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
---- Clique sur Fix cheked
-- Quitte Hijackthis
=> Autorise l'affichage des fichiers et dossiers cachés
* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre
=> Lance Brute Force Uninstaller en double-cliquant BFU.exe
Sous scriptline to execute fais un copier coller de c:\bfu\thene.bfu
Clique sur execute
/!\ Si tu as enregistrer les fichiers dans un autre dossier il faudra mettre le bon chemin d'acces /!\
- Attendre que complete script execution apparaîsse et clique sur OK
Quitte BFU
*** Attention. Il est possible que BFU te demande de redémarrer pour permettre de supprimer certains fichiers.
Il faudra donc le faire avant de poursuivre
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16
=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
=> Redémarre en mode normal
=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
=> Résultat
- Post les différents rapports obtenus
-- Kaspersky online
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.
Bon courage. |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 03 Déc 2006 à 3:53 Sujet du message: |
|
|
Bonsoir,
Avant de faire toutes les manips, je veux juste te préciser que C:\Documents and Settings\Famille\Bureau\W3XMapHack120E2.exe n'a rien d'aussi grave que tu peux le croire. Ce n'est pas un logiciel pour hacker vraiment mais un add-ons pour mon frere dans un de ses jeux il me semble |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 03 Déc 2006 à 12:09 Sujet du message: |
|
|
Bonjour,
J'ai ouvert le wordpad enregistré ton texte en citation mais quand j'ai cliqué sur fusionner voici le message qui apparait :
éditeur tu registre
Impossible d'importer C:\Documents and Setting\Famille\Bureau\Fix_exe.reg : Le ficher spécifié n'est pas un script du Registre. Vous pouvez uniquement importer des fichiers du Registre binaires à partir de l'éditeur du Registre. |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 03 Déc 2006 à 12:23 Sujet du message: |
|
|
Salut,
As tu bien intégré cette ligne en haut de ton fichier :
| Citation: |
| Windows Registry Editor Version 5.00 |
_________________
|
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 08 Déc 2006 à 14:28 Sujet du message: |
|
|
Bonjour,
As tu terminé ces opérations ?  |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 12 Déc 2006 à 9:20 Sujet du message: |
|
|
Bonjour,
désolé, j'ai eu quelque petit probleme de connection encore une fois, mais c'est sans importance.
J'ai fait toutes les opérations que tu m'as demandé a part toujours le Fix_exe.reg que je n'arrive pas a fusionner et qui laisse le meme message d'erreur.
Et j'ai bien vérifié d'introduire au début
| Citation: |
Windows Registry Editor Version 5.00
|
Malgré cela j'ai fait toutes les autres opérations et je t'envoie le rapport de AVG antispyware :
---------------------------------------------------------
Log supprimé |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 12 Déc 2006 à 9:22 Sujet du message: |
|
|
Et Voici le rapport Kaspersky :
-------------------------------------------------------------------------------
Log supprimé |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 12 Déc 2006 à 20:39 Sujet du message: |
|
|
Bonjour,
Il y a du mieux mais c'est pas encore ca 
=> Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip
- Clique sur KillBox Download Link pour le télécharger
-- Décompresse le sur le bureau
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)
| Citation: |
C:\WINDOWS\system32\ztdll.dll
C:\WINDOWS\system32\run.exe
C:\avenger\backup.zip
M:\incomi à trier\Xilisoft[1] Ipod Video Converter v2.1.55.1104B Winall Incl Keygen-Virility.zip
C:\WINDOWS\system32\drivers\fsprot.sys
M:\pagefile.pif
C:\WINDOWS\system32\cns.exe -> Adware.Cdn
C:\WINDOWS\system32\1116\ntjdo\plugins\bt.emm
C:\WINDOWS\system32\1116\ntjdo\plugins\cn.emm
C:\WINDOWS\system32\1116\ntjdo\plugins\mvq.emm -
C:\Documents and Settings\Famille\Modèles\8dd38df\3.dll -
C:\Documents and Settings\Famille\Modèles\8dd38df\4.dll
C:\WINDOWS\8dd38df\3.dll
C:\WINDOWS\8dd38df\4.dll
C:\WINDOWS\system32\6f906971\06l97.dll
C:\WINDOWS\system32\6f906971\06r97.dll
C:\WINDOWS\system32\adsimg01.dll |
* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier
* Ouvre Killbox
-- Coche la case [X] "Delete on next reboot"
-- Clique sur le menu File puis sur Paste from Clipboard
* Clique sur la croix blanche sur fond rouge
-- au message "All listed files will be deleted on next reboot" clique sur OUI
-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI
-- Redémarre ton ordinateur s'il ne le fait pas automatiquement
* Aprés son redémarrage supprime le dossier C:\!Killbox
=> Redémarre ton PC en mode sans échec
=> Lance AVG AntiSpyware
Important -- menu analyse onglet paramètres
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
-- Menu analyse
---- Onglet Analyser
-- clique sur analyse complète du système pour lancer le scan
---- Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse
Redémarre en mode normal, Potst ce rapport AVG Antispyware ainsi qu'un nouveau log Hijackthis s'il te plait.
a+ |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 13 Déc 2006 à 13:27 Sujet du message: |
|
|
Bonjour,
J'ai fait ce que tu m'as dit et voici le rapport de Log supprimé |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 13 Déc 2006 à 19:40 Sujet du message: |
|
|
Bonsoir,
Si j'en crois ces derniers rapports tout a été supprimé.
As tu encore des soucis ? |
|
| Revenir en haut de page |
|
|
thene
Inscrit le: 18 Nov 2006
Messages: 24
|
| Posté le: 15 Déc 2006 à 0:11 Sujet du message: |
|
|
Bonsoir,
Cela m'étonne car le problème principal que j'ai évoqué au debut du sujet persiste toujours, bien que je remarque une amélioration sur mon ordinateur mais a d'autres niveaux.
Par contre il est arrivé qu'a de rares démarrages winlogon ne monte pas et reste stable, bref que tout marche bien. Mais ceci n'est arrivé que peu de fois et je ne pourrais pas te dire pourquoi, sauf peut-etre que il me semble que la plupart du temps c'etait apres un démarrage effectué par Killbox.
Voila désolé de t'anoncer cela, je te remercie cependant de m'avoir aidé jusqu'ici. |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
