Disparition d'un DD après netoyage Rootkit

Modérateur: Modérateurs et Modératrices

Messagede nickW » 19 Nov 2008, 00:28

Bonsoir,

Peux-tu faire ceci:

Étape 1: RegSearch (de Bobbi Flekman)
Télécharger RegSearch (clic droit sur le lien ci-dessous, enregistrer le fichier sur le Bureau):
http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\RegSearch).


Étape 2: RegSearch (de Bobbi Flekman)
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir 28ABC5C0-4FCB-11CF-AAX5-81CX1C635612 sur la 1ère ligne

Ne rien saisir dans la zone "Enter string to exclude from results (optional)"

Vérifier que dans le paragraphe Search toutes les cases sont cochées.

Puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 15 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Dans cette fenêtre du Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom resultat-1.txt).

Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 3: Résultat
Envoyer en réponse:
*- le résultat de RegSearch (contenu du fichier resultat-1.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Wildcat » 22 Nov 2008, 10:13

Bonjour,

Et voici le résultat :

---------------------

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-11-22 10:07:44 for strings:
; '28abc5c0-4fcb-11cf-aax5-81cx1c635612'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

; End Of The Log...

---------------------

C'est bon ou pas bon?

Merci pour ton aide :wink:
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede nickW » 23 Nov 2008, 01:34

Bonsoir,

Peux-tu faire ceci:


Note: Ces instructions sont valables pour Windows XP, pas pour Windows Vista.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis l'un des trois liens ci-dessous:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
http://download.bleepingcomputer.com/an ... /SDFix.exe
http://sdfix.net/SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").
A la fin de l'installation, une fenêtre du Bloc-notes s'ouvre pour afficher le contenu du fichier "Installed.txt". Fermer cette fenêtre du Bloc-notes.


Étape 3: Mode sans échec
Faire redémarrer le PC en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs). Impératif: ne pas utiliser la méthode "msconfig"!
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 4: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.

Image

Appuyer sur la touche Y puis faire Entrée, pour lancer l'exécution.
Selon l'infection détectée, un redémarrage immédiat est parfois nécessaire. Accepter, et faire redémarrer le PC en mode sans échec.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour faire redémarrer le PC.
Appuyer sur n'importe quelle touche pour faire redémarrer le PC (en mode normal).
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.

Image

Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.

Envoyer en réponse:
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Wildcat » 24 Nov 2008, 19:39

Bonsoir,

Bon, ben, je ne sais ps bien ce que ce logiciel a fait, mais le disque G: est réapparu :D

Je post tout de même le rapport :

-----------------------

SDFix: Version 1.240
Run by Propriétaire on 2008-11-24 at 19:22

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service asc3550p - Deleted after Reboot

Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 19:26:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"SecureDesktop"=dword:00000000

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Philips\\Intelligent Agent\\Philips Intelligent Agent.exe"="C:\\Program Files\\Philips\\Intelligent Agent\\Philips Intelligent Agent.exe:*:Enabled:Philips Intelligent Agent"
"C:\\Program Files\\AOL 9.0a\\waol.exe"="C:\\Program Files\\AOL 9.0a\\waol.exe:*:Enabled:AOL 9.0a"
"C:\\Program Files\\AOL 9.0b\\waol.exe"="C:\\Program Files\\AOL 9.0b\\waol.exe:*:Enabled:AOL"
"C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Program Files\\Fichiers communs\\AOL\\1203422821\\ee\\aolsoftware.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1203422821\\ee\\aolsoftware.exe:*:Enabled:AOL Services"
"C:\\Program Files\\AIM6\\aim6.exe"="C:\\Program Files\\AIM6\\aim6.exe:*:Enabled:AIM"
"C:\\WINDOWS\\winlogon.exe"="C:\\WINDOWS\\winlogon.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0b\\waol.exe"="C:\\Program Files\\AOL 9.0b\\waol.exe:*:Enabled:AOL"

Remaining Files :



Files with Hidden Attributes :

Fri 9 Apr 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Fri 9 Apr 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Fri 9 Apr 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0a\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0a\aoltray.exe"
Fri 9 Apr 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0a\RBM.exe"
Fri 9 Apr 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0b\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0b\aoltray.exe"
Fri 9 Apr 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0b\RBM.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Wed 26 Mar 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 4 Oct 2004 417,792 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe"
Thu 27 May 2004 61,440 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
Mon 3 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\Propri‚taire\Application Data\U3\temp\Launchpad Removal.exe"

Finished!

-----------------------

J'espère que c'est fini, et que ce petit SDFix a aussi résolu une autre "infection" qui s'est manifestée hier : de nouveau obligée de faire un scan de démarrage avec Avast :

2008-11-20 19:29 SYSTEM 1092 Sign of "Win32:Swizzor-N [Trj]" has been found in "D:\LaMule\Incoming\Build a-lot 3 Passport to Europe no serial(crack).rar\wrar380.exe\INSTAL~1.EXE\[UPX]" file. :oops:
-> J'ai supprimé

En tout cas, très efficace :-) En espérant que mon G: ne disparaisse pas demain en rallumant l'ordinateur :D
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede nickW » 25 Nov 2008, 01:29

Bonsoir,

Ton PC était infecté. SDFix l'a nettoyé.

SDFix est un outil puissant qu'il ne faut pas utiliser "n'importe quand" pour nettoyer "n'importe quoi".

Il ne faut pas le conserver sur ton PC: il est mis à jour très souvent.

Note importante:
Si tu avais créé un fichier hosts personnalisé, ce dernier a été effacé car il était endommagé. Il faut le re-créer.


A quoi te sert eMule (à part récolter des cochoncetés sur ton PC)?


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Wildcat » 26 Nov 2008, 18:54

Bonsoir,

Bon, ben... G: a encore disparu...

Faut-il refaire toute la manip?

Et qu'est-ce qu'un fichier hosts personalisé?

Et pour la mule... Perso suis passée sur mac :p , entre autre pour éviter ce genre de problème, mais difficile de convertir toute la famille :wink:

D'avance merci pour ton aide,
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Précédente

Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité