| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
blackduty
Rank Pr 8
Inscrit le: 23 Nov 2005
Messages: 102
|
 Posté le: Sam Déc 27, 2008 11:03 am Sujet du message: Mon cadeau de noyel qui vient tout droit d'internet... |
 |
|
Salut,
Ca faisait longtemps que j'avais pas eu un si beaaaaaaaaaaaaaaau cadeau.
Mon Pc chéri, mon œuvre, ma bataille a choppé un virus le 25 Décembre (super classe, je trouve  ). Dernière fois que je laisse toucher mon pc a quelqu'un d'autre !
Après avoir mis mon casque en kevlar, je suis donc rentrer en guerre !
L'ennemi annoncé: Win32.Banker.FS Trojan.SpyAgent.DA
Effet visible: Fausse annonce de windows qui réclame toute les 2 minutes une intervention d'un antispyware. (petite croix dans un rond rouge qui apparait près de l'heure. Il ressemble beaucoup a ça d'ailleurs:  )
Fond d'écran psychédélique.
Résumé du conflit:
- Enervé, j'ai balancé un coup de kaspersky (rien trouvé), un coup de spybot search and destroy (quelque spywares qui ont dégustés) mais le logo était toujours là.
- J'effectue donc une petite recherche et je vois que certains ont eu le même problème. La solution provenait visiblement du programme Malewarebytes Anti-Malware.
Je balance, pif paf, un certain nombre de saloperie déguste et le logo disparait. Ouf, je peux changer mon fond d'écran. Tout a l'air clean.
Par principe de précaution, le lendemain, je relance en mode sans échec et je rebalance le Malewarebytes et le spybot. Spybot me trouve quelques saloperies que je supprime violement (6 heures, c'est long alors quand on en trouve deux, on se venge).
Aujourd'hui, je reprend une vie normale. Histoire de chouchoutter mon PC chéri, je lui met un coup de CCleaner et supprime pas loin de 250mo de données >_<
Cependant, je viens de me rendre compte que kaspersky me met en quarantaine quelques trucs encore. J'aimerais bien me débarasser de ce trucs qui continue a me pourrir la vie.
Voici le nom des fichiers en quarantaine (rapport de kaspersky):
| Citation: | Potentiellement infecté : cheval de Troie Trojan.Win32.Patched.dy (modification) c:\documents and settings\hp_administrateur\local settings\temp\tdss36f3.tmp 669,5 Ko 26/12/2008 05:19:26
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25cat.exe 228,5 Ko 25/12/2008 22:57:17
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25car.exe 273 Ko 25/12/2008 22:57:44
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25caq.exe 273 Ko 25/12/2008 22:58:05
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25cao.exe 271,5 Ko 25/12/2008 22:58:38
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25cam.exe 228 Ko 25/12/2008 22:59:12
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25cal.exe 228 Ko 25/12/2008 22:59:28
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25cak.exe 228,5 Ko 25/12/2008 22:59:45
Potentiellement infecté : application présentant un risque potentiel Trojan.generic C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\60325cahp25caj.exe 228,5 Ko 25/12/2008 23:00:00 |
Je constate qu'ils ont quasiment toujours le même nom.
J'ai Hijackthis sous la main mais vu que je sais pas interprêté le rapport, ça m'avance pas beaucoup (de mémoire, il faut le lancer en mode sans echec, c'est ça  )
En vous remerciant par avance pour votre aide ^^
En résumé, merci papa noël... prochaine fois, piege a loup dans la cheminée, sapin explosif etc. Vais me le faire  |
|
| Revenir en haut |
|
 |
@YvesJean01@
Rank Pr 2
Inscrit le: 09 Sep 2005
Messages: 2830
Localisation Pays-Ville: Guéreins 01090
|
| Posté le: Sam Déc 27, 2008 1:43 pm Sujet du message: |
|
|
bonjour, ont va essayer de faire en sorte que ta machine passe une bonne et heureuse fete de fin d’année loll, tu a fait le plus gros.
Alors voila, je pense que c’est un de tes matériel qui amene ca et il est possible que Kaspersky prenne pour un trojan ce qu’il ne l’est pas ou du moins ca mise a jour qui ressemblerait a une beta si tu me suis !.
Je pense que cela vient d’un prog que tu a au démarrage qui ouvre une application reste a savoir laquelle, une mise a jour logiciel d’un nouveau matériel c’est a quoi je pense et ont peut en avoir le cœur net avec Hijackthis.
C’est pas grave, pour en avoir le cœur net poste nous donc un log Hijackthis, pour sont interprétation, ce n’est pas que c’est compliqué mais ont peut très bien mettre une machine HS avec Hijackthis alors tout les process doivent etre analyser manuellement avec une confiance relative si tu poste ton log sur http://www.hijackthis.de/fr car il s’agit dun robot , pour le principe des lignes:
| Code: |
R0, R1, R2, R3 URLs des pages d'accueil par défaut d'IE
F0, F1, F2, F3 Applications se lançant automatiquement au démarrage ‘fichiers .INI, system.ini et win.ini’
N1, N2, N3, N4 URLs des pages d'accueil par défaut de Netscape et Mozilla
O1 Détournement du fichier Hosts
O2 BHOs ajoutés à IE
O3 Barres d'outils ajoutées à IE
O4 Applications se lançant automatiquement au démarrage de Windows depuis les clés Run
O5 Accès impossible au panneau de contrôle d'IE
O9 Boutons non standard d'IE
O10 Piratage des Winsock
O11 Groupe illégal des options d'Internet Explorer
O12 Plugins d'IE
O13 Usurpation du préfixe d'IE
O16 Objets ActiveX
O17 Usurpation de domaine
O18 Protocoles de communication
O20 Clé de Registre autorisant des lancements automatiques de tâches
O21-022 Clés de Registre autorisant des lancements automatiques de tâches
O23 Services Windows XP/NT/2000
|
Pour la recherche de process voici quelques site sure :
http://www.answersthatwork.com/
l’un des meilleurs http://castlecops.com/ malheureusement p’tit souci en ce moment.
http://www.tasklist.org/
http://www.processlibrary.com/
http://www.spywaredata.com/
|
|
| Revenir en haut |
|
|
blackduty
Rank Pr 8
Inscrit le: 23 Nov 2005
Messages: 102
|
| Posté le: Sam Déc 27, 2008 4:09 pm Sujet du message: |
|
|
Je revend mon cadeau sur ebay, personne n'en veut
Voici mon log en mode sans echec:
| Citation: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:33, on 27/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\HP_Administrateur\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [DMAScheduler] c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
--
End of file - 8114 bytes
|
|
|
| Revenir en haut |
|
|
@YvesJean01@
Rank Pr 2
Inscrit le: 09 Sep 2005
Messages: 2830
Localisation Pays-Ville: Guéreins 01090
|
| Posté le: Dim Déc 28, 2008 1:24 am Sujet du message: |
|
|
Bon alors ont part a la peche, es ce que tu te sers du canal IPC si non, supprime la ligne qui est un nid a microbes qui ouvre de grandes porte, cette ligne ne veut absolument rien dire il devrait y avoir la Dll et la clé utilisé, c’est probable que ce soit par la que tu a des attaques et ca ma l’air complètement aléatoire, le nom des trogans qui sont bloqué par kaspersky doivent changer ou les numéros a chaque démarrage, voici la ligne a fixer:
| Code: | | O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file) |
dit moi avec le SP3 tu na pas eue trop de souci |
|
| Revenir en haut |
|
|
blackduty
Rank Pr 8
Inscrit le: 23 Nov 2005
Messages: 102
|
| Posté le: Dim Déc 28, 2008 10:37 am Sujet du message: |
|
|
Je ne vois pas ce que c'est les canaux IPC
Pour ce que j'ai lu, tout ce que je peux dire c'est que mon pc est en réseau derrière un routeur.
Pas de contrôle a distance. J'peux imprimer sur l'imprimante en réseau et accéder a certains trucs sur les autres ordis du réseau.
Après, vu que je vois pas du tout ce que c'est, j'ai peut etre répondu a coté de la plaque =).
Sinon pas de problème avec SP3, je croise les doigts :p |
|
| Revenir en haut |
|
|
@YvesJean01@
Rank Pr 2
Inscrit le: 09 Sep 2005
Messages: 2830
Localisation Pays-Ville: Guéreins 01090
|
| Posté le: Dim Déc 28, 2008 3:40 pm Sujet du message: |
|
|
C’est un mutant cette chose, donc voila tu va supprimer la ligne 022, de toutes façon elle est louche car ni clé ni process associé, tu la choppé ou par MSN ou Skype et elle veut ce servir de tes droits d’administration.
Cette chose silencieuse ont ne la pas complet avec HijackThis v2.0.2 la c’est un vrais pulzze simplement car kaspersky met une partie en quarantaine et en empêche l’exécution, il se peut aussi que tu l’est télécharger avec un faux anti-logiciel espion il y en a de plus en plus, tu a plusieurs mouture sur ta machine.
Si tu veut il ce sert de clé du registre voir les modifies pour s’exécuter, ta bien fait de faire le ménage, ensuite si toujours le souci, tu désactivera tes anti-virus et autre pour faire un autre log d’HijackThis cela sera le seul moyen de le cibler pour mieux l’éradiquer manuelement.
|
|
| Revenir en haut |
|
|
blackduty
Rank Pr 8
Inscrit le: 23 Nov 2005
Messages: 102
|
| Posté le: Lun Déc 29, 2008 10:00 pm Sujet du message: |
|
|
Je l'ai flinguer. A priori, ça avait pas marcher.
Mais j'ai fait un 'tit ménage dans les programmes et fais la mise a jour de mon antivirus. (je suis passé a la version 2009). Pas de nouvelle pour le moment.
Je croise les doigts ^^ |
|
| Revenir en haut |
|
|
|
Le Site
TV ce soir
Météo
Cartes virtuelles gratuites
Sudoku
Contact Admin
Faire un lien
Calendrier 2010
