Demande d'analyse de log, contamination win32 worm socks AT

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 29 Juin 2008, 21:26

Bonsoir,

Tes messages manquent un peu de précision!

Tu as écrit (dans des messages distincts):
*- fenêtre netsch.exe
*- fenêtre system32 netsch.exe
*- fenêtre s'ouvre en indiquant : c\windows\system32\netsh.exe
*- les fenêtres netsh 32

Peux-tu me dire exactement tout ce que tu vois dans cette fenêtre?



Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Création du fichier aven2.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven2.txt

Code: Tout sélectionner
Begin copying here:

Files to replace with dummy:
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Propriétaire\ftp34.dll
C:\Documents and Settings\Administrateur\ftp34.dll
C:\Documents and Settings\LocalService\ftp34.dll
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Propriétaire\svchost.exe
C:\Documents and Settings\Administrateur\svchost.exe
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\userinit.exe
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | [system]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | winlogon


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 2: Utilisation du fichier xp_exe_fix.reg
Faire un clic droit sur xp_exe_fix.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 3: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven2.txt

Le contenu du fichier aven2.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 4: OTScanIt (de OldTimer), correction
Fermer toutes les fenêtres de programme ouvertes.
Désactiver le module résident en temps réel de l'antivirus jusqu'à la fin de cette étape.
Dans l'Explorateur, ouvrir le dossier OTScanIt qui a été créé sur le Bureau.
Faire un double clic sur OTScanIt.exe pour lancer l'outil:

Image

Sélectionner la totalité des lignes inscrites dans la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C du clavier:
Code: Tout sélectionner
[Registry - Non-Microsoft Only]
<Administrateur> -> C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
YY -> ~EmptyValue -> %UserProfile%\Menu Démarrer\Programmes\Démarrage\userinit.exe
<Propri> -> C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage
YY -> ~EmptyValue -> %SystemDrive%\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe
YY -> ~EmptyValue -> %SystemDrive%\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe
<Internet> -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar
YN -> {ACB1E670-3217-45C4-A021-6B829A8A27CB} [HKEY_LOCAL_MACHINE] -> Reg Error: Key does not exist or could not be opened. [Reg Error: Key does not exist or could not be opened.]
[Files/Folders - Modified Within 30 days]
NY -> 2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp
NY -> 3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp



Revenir dans la fenêtre de OTScanIt, faire un clic droit dans la zone blanche du paragraphe Paste Fix Here puis choisir Coller:
Image
Note: Le texte de la zone Code doit ainsi être copié dans la fenêtre de OTScanIt. Si ce n'est pas le cas, recommencer l'opération.

Cliquer alors sur le bouton Run Fix:
Image

Lorsque l'outil a fini de travailler, il y a ouverture d'une petite fenêtre "Information" annonçant "Fix Complete! Click OK to open the fix log". Cliquer sur le bouton OK:
Image

Il y a ensuite ouverture d'une fenêtre du Bloc-notes contenant le rapport de correction.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Fermer la fenêtre de OTScanIt.


Étape 5: Utilisation du fichier repar.reg
Faire un clic droit sur repar.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 6: OTScanIt (de OldTimer), création d'un rapport (log)
Fermer toutes les fenêtres de programme ouvertes.
Désactiver le module résident en temps réel de l'antivirus jusqu'à la fin de cette étape.
Dans l'Explorateur, ouvrir le dossier OTScanIt qui a été créé sur le Bureau.
Faire un double clic sur OTScanIt.exe pour lancer l'outil:

Image

L'écran principal de OTScanIt s'affiche:

Dans le paragraphe Drivers, cocher le bouton-radio Non-Microsoft
Dans le paragraphe Rootkit Search, cocher le bouton-radio Yes

Dans le paragraphe Additional Scans, cocher les cases situées devant:
Reg - Approved Shell Extensions
Reg - BotCheck
Reg - File Associations
File - Additional Folder Scans
Evnt - EventViewer Errors/Warnings (last 7 days)

Image

Cocher (en haut) la case située devant Scan All Users
Puis cliquer sur le bouton Run Scan.
Laisser l'outil travailler, sans rien faire d'autre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant le rapport.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Fermer la fenêtre de OTScanIt.


Étape 7: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le rapport de correction de OTScanIt (contenu du fichier ********_******.log situé dans le dossier OTScanIt\MovedFiles - les *** sont des chiffres représentant la date [moisjourannée] et l'heure).
Note: Si dans le message ainsi envoyé sur le forum la dernière ligne de la zone Code n'est pas <End>, cela signifie que le rapport est trop grand pour tenir dans un seul message. Dans ce cas, il faut le couper en plusieurs messages.

Déposer sur un serveur externe le rapport de OTScanIt afin que je puisse le récupérer:

Méthode:
1/ Mettre le contenu du fichier OTScanIt.Txt situé dans le dossier OTScanIt dans une archive zip.
2/ Aller avec le navigateur sur: http://www.yousendit.com/
(Javascript doit être activé)
*- Dans les zones To et From, saisir n'importe quoi avec un @ dedans (Exemples: abc@def.com et abcdef@def.com) et décocher la case située devant "Remember my email"
*- Sous Select a file, cliquer sur le bouton "Parcourir...", aller jusqu'à l'archive que tu as créée puis faire un double clic dessus pour la sélectionner
*- Cliquer sur le bouton vert "Send It"
*- Il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "Here is the link for the file you uploaded:")
Envoyer ce lien en réponse sur le forum.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 29 Juin 2008, 23:31

Bonsoir,

Je reviens avec la session avec droits administrateur, j'hésite encore toujours...je suis désolé.Pourrais-tu m'expliquer ? Merci.
si je reprends ta note :
Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

Pour arriver au mode sans échec, je passe par ms config (F8 ne fonctionne pas) et avant de l'entrée en mode sans échec, Windows me demande de choisir entre deux icones carées : administrateur ou utilisateur ? Que faut-il choisir alors ? Utilisateur ? ou administrateur ?
A ce niveau là, sommes nous déjà dans le mode sans échec ??? Je ne comprends plus.

Pour la question de précsion sur la fenêtre:
Cette fenêtre s'ouvre en même temps que l'installation des icônes. Cette fenêtre est noire, idem que l'inviation ms dos, avec sur la partie supérieure ceci: c:\windows\system32\netsh.exe. A part cela, il n'y a rien ? que du noir.

Autre chose encore, pour information,
j'ai retrouvé un papier ou j'avais inscris les premiers signes étranges et messages de contamination à l'écran.
Ils sont peut être importants....et ont peut-être un sens pour un informaticien.

Packer.Malware.Crypter.A
memory dump
full dump
Deux lignes identiques avec comme chemin :
c:\windows\system32\*.exe
le signe * représente le troisième signe sur la touche +/= de la quatrième rangée du clavier (j'ai oublié le nom de ce signe)

A suivre,
Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 30 Juin 2008, 15:33

Bonjour,

Je suis occupé avec les nouvelles manips.

Etape 1 : Création du fichier avent2.txt .Ok

Etape 2 : Utilisation du fichier xp exe fix.reg Ok

Etape 3, après "execute" pour lancer l'exécution du script , j'ai cliqué pour rebooter et cliqué sur yes comme demandé.
Je n'ai pas vu une brève apparition d'une fenêtre de comande à fond noir et pas vu en fin d'exécution le rapport afficher dans le Bloc note.

Etape 4, après redémarrage le message Windows est apparu, une fenêtre avec une croix blanche sur une pastille rouge :

1/ c:\cleanup.exe n'est pas une application win32 valide.

2/ Ensuite, quand j'ai fais un double clic sur OTScanIt.exe pour lancer l'outil.
Impossible d'ouvrir OTScanIt avec le message suivant :
Documents and Settings\propriétaire\Bureau\OTScan\OTScanIt.exe n'est pas une application win32 valide.

Que faire maintenant ? Comment ouvrir ce programme ? Merci pour ta réponse.


A suivre,
Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 30 Juin 2008, 21:07

Bonsoir,

La suite, ce message est envoyé à partir d'un PC d'un Cyber, vu que ma machine est bloquée, je n'ai plus accès à Internet.
Tous les programmes sont bloqués (fenêtres avec indications pas valide, voir précédent message.
Comme je suis entre deux étapes, je me demande ce qui va se passer si je fais un redémarrage ? J'attends ta réponse avant cette action. Je reviendrai demain au Cyber.

JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 30 Juin 2008, 22:54

La suite,

La situation est débloquée. Ouf !
Je suis parvenu à ouvrir OTScanIt.exe, non pas par un double clic, mais par le menu contextuel et utilisation en tant que.....
et j'ai pu poursuivre les autres étapes.
Ci dessous le rappport avenger.txt

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ftp34.dll" replaced with dummy successfully.
File "C:\Documents and Settings\Propriétaire\ftp34.dll" replaced with dummy successfully.
File "C:\Documents and Settings\Administrateur\ftp34.dll" replaced with dummy successfully.

Error: file "C:\Documents and Settings\LocalService\ftp34.dll" not found!
Replacement with dummy of file "C:\Documents and Settings\LocalService\ftp34.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\services.exe" replaced with dummy successfully.
File "C:\Documents and Settings\Propriétaire\svchost.exe" replaced with dummy successfully.
File "C:\Documents and Settings\Administrateur\svchost.exe" replaced with dummy successfully.
File "C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe" replaced with dummy successfully.
File "C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\userinit.exe" replaced with dummy successfully.
File "C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe" replaced with dummy successfully.

Error: file "C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe" not found!
Replacement with dummy of file "C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\userinit.exe.non.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|[system]" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

A suivre,

Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 01 Juil 2008, 10:37

Bonjour,

Bien que j'ai pu ouvrir OTScanIt avec le menu contextuel (exécuter en tant que Proprétaire) et cocher les cases,
Le programme travaille normalement en Manual File Scan, quoique un peu lent (cela prend un temps énorme).
Lorsque l'outil a terminé, il indique bien "Scan complete !", mais il n'y a pas d'ouverture d'une fenêtre du Bloc notes contenant le rapport. J'ai vérifié dans le dossier, il n'y est pas non plu. J'ai également fait une recherche .log, mais toujours rien.
Donc il semble que OTScanIt ne fait pas de création de rapport.
As-tu une solution pour résoudre ce problème ? Merci.

Remarque: Dans les étapes précédentes idem, aucunes ouvertures du Bloc notes, mais il est possible de retrouver le fichier du rapport.

A suivre,
Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 02 Juil 2008, 00:19

Bonsoir,

L'utilisation de xp_exe_fix.reg permet-elle de lancer OTScanIt normalement?

(Faire un clic droit sur xp_exe_fix.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 02 Juil 2008, 10:56

Bonsoir,

Affirmatif, l’utilisation de xp_exe_fix.reg permet de lancer OTScanIt normalement. Merci
Cette fois ci, il y a eu ouverture d’une fenêtre du Bloc-notes contenant le rapport.
Juste une petite remarque :
Le fichier OTScan logfile créé n’est pas ********_******.log, mais OTScanIt.txt et ne se trouve pas dans le dossier OTScan\MovedFiles.
Celui a été déposé sur un serveur externe :

Here is the link for the file you can downloaded:
http://www.yousendit.com/download/TTdFU ... SnJIRGc9PQ

A suivre,

Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 03 Juil 2008, 00:20

Bonsoir,

Comment se comporte le PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 03 Juil 2008, 15:09

La suite,

Bonsoir,

Les premières remarques après les dernières manips.

Le PC se comporte beaucoup mieux et plus de fenêtre indésirable lors de l’installation des icônes sur le bureau.
Il semble avoir récupérer son énergie, mais il doit encore avoir une gêne quelque part.
Le seul problème majeur pour le moment est la protection de l’ordinateur.
Les icones Alerte de sécurité Windows et BitDefender se trouvent dans la barre des tâches, ils sont en démarrage automatique, mais les services sont inactifs.

Les chemins d’accès sont :

1/BitDefender Communicator :
"C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe" /service

2/BitDefender Desktop Update Service
"C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe" /service

3/BitDefender Threat Scanner
C:\WINDOWS\System32\svchost.exe –kbdx

4/ BitDefender Virus Shield
"C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe" /service

5/ Centre de sécurité
C:\WINDOWS\System32\svchost.exe -k netsvcs

6/InstallDriver Table Manager
"C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Question 1 :

Le Centre de sécurité Windows doit-il être activé ou désactivé ?

Question 2 :

Que faut-il faire désinstaller et réinstaller BitDefender ?

BitDefender est bloqué, les services de BitDefender ne répondent pas.
L’antivirus : la protection en temps réel n’est pas disponible (Résident)
Le pare-feu est désactivé : échec de l’initialisation des pilotes du pare-feu BitDefender.
L’antispam BitDefender : le module est indisponible.
Les réactivations dans les paramètres de sécurité ne répondent pas.

Bref tout semble bloqué au niveau de l’antivirus !

Merci pour ta réponse.

A suivre,
Jean Jean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités