Trojan :: Suppression svp - Sécurité - Windows & Software
Marsh Posté le 23-09-2005 à 19:56:12
Bon je vais faire a la bonne vieille méthode.
Je re dans 10mn et je vous dis si ca va mieu.
Marsh Posté le 23-09-2005 à 20:24:50
Bof.
Je dois retourcher le regedit ( Shell = explorer.exe et non avec fservice.exe ), msconfig pour le supprimer du boot de Windoz, et le supprimer tout ca en Sans Echec.
Tu penses que ca passeras ?
Marsh Posté le 23-09-2005 à 21:31:30
Hmm il veut pas sortir.
Problèmes : Je ne le localise plus, fservice & services ont disparus mais toujours actif ( Ctrl + Alt + Sup ).
Marsh Posté le 23-09-2005 à 21:32:00
Il y a des fichiers que l'on ne voit pas avec HijackThis avec cette infection...
Marsh Posté le 23-09-2005 à 21:40:24
Je vois meme pas le dossier System32 ...
Je suis obligé de rentrer a la main C:\Windows\System32\
Marsh Posté le 23-09-2005 à 21:56:42
c'est lui non ?
http://securityresponse.symantec.c [...] rorat.html
Marsh Posté le 23-09-2005 à 22:07:14
Première étape :
1- Télécharge Dellater. et dézippe-le dans le dossier windows\system32.
Télécharge Windows-XP-Prefetch-Clean-And-Control.exe.
2- Redémarre en mode sans échec.
- Lance le programme "...prefetch ..".
- Tu as un écran "first time", clique "OK".
- Coche le bouton "Recommended".
- Clique "Set Prefetch Parameters"
- Clique "Clean Prefetch Folder Now"
3- Start->run
Tape : Dellater.exe c:\windows\system32\fservice.exe
(espace entre exe et c !)
Tu auras un popup :
"File Marked for Deletion After Reboot
c:\windows\system32\fservice.exe"
Refais pareil avec :
Dellater.exe c:\windows\system\sservice.exe
Dellater.exe c:\windows\system32\wininv.dll
Dellater.exe c:\windows\system32\winkey.dll
Dellater.exe c:\windows\winlogon.exe
4- Redémarre de nouveau en mode sans échec.
Il doit y avoir un message "Fichier introuvable..etc.."
Lance HijackThis et coche si présent :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
La suite au prochain numéro...
J'ai édité...en mettant en gras, il n'y avait plus de : \
Marsh Posté le 23-09-2005 à 23:55:00
Je dis chapeau
Une question : Que fait exactement ce Prefetch ?
Marsh Posté le 23-09-2005 à 23:58:42
Cher Acrobaze,
J'apprécie beaucoup la précision de tes interventions...
Toutefois, je ne comprends pas toujours pourquoi tu préconises tel ou tel outil... Ici en l'occurence, je ne vois pas très bien en quoi "Dellater" diffère de "PocketKillBox" ou de "MoveOnBoot"...
Bien à toi, bravo et Merci !
Marsh Posté le 24-09-2005 à 10:35:30
Seconde étape :
5- Toujours en sans échec :
- Ouvrir le bloc-notes
- Copier/coller ceci:
Citation : REGEDIT4 |
- Cliquer "Fichier"->"Enregistrer sous"->"Fichier"->"Tous les fichiers"
- L'appeler par ex : fix.reg
- Double cliquer "Fix.reg" et approuver la fusion.
6- Redémarrer en mode normal. Lancer HijackThis et cocher de nouveau la ligne F2 si elle est revenue.
Démarrer->exécuter->taper: regedit
Aller à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Il ne doit pas y avoir de sous clé : 'explorer'.
Enfin, vérifier que les fichiers supprimés sont réellement absents.
7- Poster un nouvel HijackThis.
Marsh Posté le 24-09-2005 à 10:56:29
Je fais comment pour voir si ils sont absents ?
Sachant que je n'arrive même pas a voir le dossier System32 ?
Marsh Posté le 24-09-2005 à 12:57:49
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Marsh Posté le 24-09-2005 à 13:10:01
acrobaze a écrit : Assure-toi que tu as accès aux fichiers cachés. |
Il fallait décocher "Masquer les fichiers protégers ..."
Services.exe est toujours la.
Winlogon.exe est aussi toujours la.
Tous le reste plus de traces.
Je n'ai pas encore fait ta dernère manip.
Marsh Posté le 24-09-2005 à 16:20:35
Mwouais...d'abord il n'a jms été question du fichier : Services.exe ...tu le vois dans ce que j'ai écrit ? Non, alors ne t'en occupe pas.
Ensuite, fais très attention...il s'agit de c:\windows\winlogon.exe , et non pas de c:\windows\system32\winlogon.exe.
Enfin, ça ne sert à rien de faire des "up"...fais ce qui est indiqué...n'invente surtout RIEN....et poste ton log HijackThis.
Marsh Posté le 24-09-2005 à 17:10:56
Logfile of HijackThis v1.99.1
Scan saved at 17:10:10, on 24/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NetAppel\NetAppel.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\RaSk LEET\Mes documents\HiJack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\RaSk LEET\Application Data\Mozilla\Profiles\default\jvn8o4s9.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TDS2-98] C:\WINDOWS\OuZwASFdxrqO.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NetAppel] "C:\Program Files\NetAppel\NetAppel.exe" -nosplash -minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?li [...] lcid=0x409
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32BBF9DF-7B5F-427F-9365-8721E282FB63}: NameServer = 217.19.192.132,217.19.192.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Voila
Marsh Posté le 24-09-2005 à 17:20:32
Ok. Tous ces fichiers sont bien absents ?
c:\windows\system32\fservice.exe
c:\windows\system\sservice.exe
c:\windows\system32\wininv.dll
c:\windows\system32\winkey.dll
c:\windows\winlogon.exe
(Noms exacts, exactement ds les dossiers indiqués.)
Pour finir, tu pourrais lancer Panda online.
Copier son rapport final et le copier/coller ici.
Marsh Posté le 24-09-2005 à 17:28:40
Ok.
Ca reste bloqué a 100% de ActiveScan has started.
[EDIT] Je dois partir pour plusieurs heures ... J'ai fermé la fenêtre ca fait 10mn que ca reste bloqué.
Si le scan en ligne c'est pour supprimer le fichier qui m'ai installé le trojan je viens de le retrouver.
Marsh Posté le 25-09-2005 à 10:30:31
Y a t'il une 3e partie ?
Sinon tous ces fichiers sont bien absents.
Marsh Posté le 25-09-2005 à 13:59:41
Non, c'est tout.
Si Panda ne fonctionne toujours pas, tente celui-ci:
http://www.bitdefender.com/scan8/ie.html
Marsh Posté le 23-09-2005 à 19:44:49
Bonjour,
Je viens de me reprendre un trojan.
J'ai déjà localisé les fichiers mais ils me prennent du CPU, ils n'ont pas de contact avec le web ( Kerio ).
J'ai Avast mais c'est une merde sur pattes. A ma première infection par ce trojan, Kaspersky n'avait fait que empirer la chose, il avait très mal nettoyé.
Vous avez pas un nettoyage propre face a ce trojan ?
Ligne de HiJackThis qui m'a fait repéré ce trojan :
C:\WINDOWS\services.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
Merci,
RaSk
Message édité par Krapaud le 24-09-2005 à 10:50:37