Demande d'analyse de log, contamination win32 worm socks AT

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 15 Juil 2008, 23:52

Bonsoir,

Je pense que tes problèmes avec Spybot-S&D sont dûs au fait que tu utilises encore la version 1.4!

La version 1.6 est sortie le 08/07/08.
http://www.safer-networking.org/fr/news/2008-07-08.html

Pour l'installer, il est conseillé de désinstaller l'ancienne version.
http://www.safer-networking.org/fr/howto/uninstall.html



Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Installer Java de Sun.

Version actuelle: Java Runtime Environment (JRE) 6 Update 7
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u7-windows-i586-p.exe, 15,24 MB)

Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants" (Voir dans Ajout/Suppression de programmes).
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html


ImageUn conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


ImageUn conseil:
Abandonner Internet Explorer + Outlook Express au profit de Firefox et Thunderbird
Important: Sécuriser Firefox


ImageUn conseil:
La version gratuite de MBAM reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Utiliser Ccleaner régulièrement.
Par exemple, prendre l'habitude de le lancer systématiquement avant d'éteindre le PC, ou une fois par jour.


ImageUn conseil:
Penser aux mises à jour.
Adobe Reader 9: http://www.adobe.com/fr/products/reader/
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"--->lui préférer Adobe Reader SpeedUp 1.36 ou tester Foxit Reader

Il est possible d'utiliser Spybot-S&D après avoir installé la nouvelle version (dans Outils---->Démarrage système) pour décocher les lignes correspondant aux programmes dont tu veux supprimer le lancement automatique à chaque démarrage du système (sauf indications particulières dans la liste de Pacman).
Si tu as ensuite des regrets, il te suffira de recocher ces lignes.


ImageUn conseil:
Image Il est préférable de supprimer SDFix (fichier téléchargé SDFix.exe et dossier d'installation SDFix).
Image Il est préférable de supprimer Deckard's System Scanner (fichier téléchargé dss.exe).
Note: Le dossier SystemDrive\Deckard\System Scanner contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer The Avenger (fichier téléchargé avenger.zip, exécutable avenger.exe, fichier(s) de travail aven*.txt et fichier rapport SystemDrive\avenger.txt).
Note: The Avenger a également sauvegardé les modifications qu'il a effectuées dans le fichier archive %SystemDrive%\avenger\backup.zip. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer cette archive.
Image Il est préférable de supprimer les fichiers xp_exe_fix.zip et xp_exe_fix.reg
Image Il est préférable de supprimer OTMoveIt2 (fichier téléchargé OTMoveIt2.exe situé sur le Bureau, fichier de travail OTfichiers.txt et dossier des résultats SystemDrive\_OTMoveIt).
Note: Le dossier SystemDrive\_OTMoveIt contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer le fichier repar.reg
Image Il est préférable de supprimer OTScanIt (fichier téléchargé OTScanIt.exe et dossier d'installation OTScanIt situés sur le Bureau).
Image Vider les quarantaines de l'antivirus et de l'anti-spyware.



Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 17 Juil 2008, 20:58

Bonsoir NickW,

Me revoilou,

Voilà la suite,

Revoilà des messages d’erreurs au redémarrage du PC ce matin.
Chose curieuse ces fenêtres et messages s’affichent seulement un redémarrage sur trois..
Je dois faire un ou deux redémarrages pour que les messages d'erreurs de Generic Host Process for Win32 ne s'affichent plus.
Seul le rapport d’erreur (voir point 3 ci-dessous) est différent du précédent :

C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WEROd60.dir00\SVCHOST.exe.mdmp
C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WEROd60.dir00\appcompat.txt
Est devenu :
C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WERt815.dir00\SVCHOST.exe.mdmp
C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WERt815.dir00\appcompat.txt

Les différents messages affichés que j’ai pu noter.

1/Generic Host Process for Win32 Services a rencontré un problème et doit fermer.
Nous vous prions de nous excusez pour le désagrément encouru.
Veuillez signaler ce problème à Microsoft.

2/Signature de l’erreur :

Sz AppName : Svchost.exe
Sz AppverVer : 5.1.2600.2180
Sz Modver : qmgr.dll
Sz Modver : 6.6.2600.2180
Offset : 0000f52c

3/Rapports d’erreurs :

C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WERt815.dir00\SVCHOST.exe.mdmp
C:\DOCUME~1\PROPRIO~1\LOCALS~1\Temp\WERt815.dir00\appcompat.txt

Erreur du programme (ouverture d’une fenêtre toutes les minutes)
Unknown a généré des erreurs et sera fermé par Windows.
Vous devez redémarrer le programme.

4/ Service de transfert intelligent
Impossible de le faire démarrer. Le message d’erreur est le suivant :

« Impossible de démarrer Service de transfert intelligent en arrière plan sur ordinateur local.
Erreur 1067 : le processus s’est arrêté inopinément »

Après vérification le statut du « Service de transfert intelligent » est à nouveau arrêté.

5/ DLL
qmgrproxy.dll  le module est introuvable !? Quel est son rôle a propos ?

6/ Après la fermeture des différentes fenêtres la barre des tâches s’affiche en gris.

As-tu une autre idée sur ces différents messages ?

Merci pour ton temps.

A suivre,
JeanJean.
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 17 Juil 2008, 22:48

La suite,

Autre message d'erreur avec CCleaner. Voir fichier zip. (voir lien ci-dessous)

http://www.yousendit.com/download/Q01FclVNQ1BEbUt4dnc9PQ

A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 19 Juil 2008, 00:15

Bonsoir,

Impossible de télécharger le rapport de CCleaner!


Tu as paramétré le Centre de Sécurité pour qu'il installe automatiquement les mises à jour Windows au démarrage.

Pour télécharger ces mises à jour, il faut que le "Service de transfert intelligent en arrière-plan" soit démarré, et apparemment cela ne se passe pas correctement (erreur "Generic Host Process for Win32 Services a rencontré un problème et doit fermer").


Peux-tu essayer de faire ceci:
*- réenregistrer les deux DLLs indispensables au Service de transfert intelligent en arrière-plan:
Démarrer--->Exécuter--->taper
regsvr32.exe¤/u¤"%windir%\system32\qmgr.dll"
(le caractère ¤ représente un espace)
puis cliquer sur OK (2 fois)

Démarrer--->Exécuter--->taper
regsvr32.exe¤/u¤"%windir%\system32\qmgrproxy.dll"
(le caractère ¤ représente un espace)
puis cliquer sur OK (2 fois)


*- faire démarrer le service et le mettre en type de démarrage Automatique
Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à Service de transfert intelligent en arrière-plan
Faire un clic droit dessus et choisir Propriétés

Dans Statut du service, cliquer sur Démarrer (s'il n'est pas déjà démarré)
Cliquer sur Appliquer,

Dans Type de démarrage, choisir Automatique
Cliquer sur Appliquer, puis sur OK

*- Arrêter le PC puis le faire démarrer
Y a-t-il encore des messages d'erreur?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 19 Juil 2008, 19:50

Bonsoir NickW,

Voilà, j’ai essayé de faire ce que tu m’as demandé. Mais cela ne semble pas ce faire correctement.

1- réenregistrer les deux DLLs indispensables au Service de transfert intelligent en arrière-plan:

regsvr32.exe¤/u¤"%windir%\system32\qmgr.dll". C’est OK
regsvr32.exe¤/u¤"%windir%\system32\qmgrproxy.dll". C’est impossible.  Message d’erreur dll introuvable. Voir fichier zip
Peux-tu me dire ce que c’est qmgrproxy

2- faire démarrer le service et le mettre en type de démarrage Automatique

Dans Statut du service, cliquer sur Démarrer  Impossible : message d’erreur. Voir fichier zip. Mais après contrôle, il est quand même activé.

3- Arrêter le PC puis le faire démarrer. OK

4-Y a-t-il encore des messages d'erreur ? Non pas des messages d’erreur au redémarrage. (Pour le moment)

Autres remarques :

J’ai installé Spybot-S&D version 1.6  les messages d’erreurs sbi ont disparus.
Par contre, je constate que Spybot trouve deux éléments trojans (Win32.Delf.uc). Il corrige le problème, mais Win32.Delf.uc se réinstalle.
Peux-tu me dire ce que c’est Win32.Delf.uc ? Firewall ? Voir fichier zip.

Je te renvoie également le rapport de CCleaner que tu n’as pas pu télécharger.

Here is the link for the file you can download the zip file
http://www.yousendit.com/download/Q01Gc ... UjgwTVE9PQ
http://www.yousendit.com/download/Q01GckhUQ0NsUjgwTVE9PQ

A suivre,
JeanJean [/img]
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 19 Juil 2008, 23:27

Bonsoir,

:oops: Mea culpa! :oops:

Il s'agit de qmgrprxy.dll (sans o)!

Peux-tu recommencer la manip précédente (après avoir corrigé mon étourderie).


La détection suivie d'un échec de nettoyage de WIN32.Delf.uc a été signalée dans le forum officiel de Spybot-S&D en octobre 2007.
Depuis ... aucune réponse!
Cette clé de Registre ne correspond pas à une menace exécutable.
Il s'agit d'une liste de logiciels autorisés à sortir via le pare-feu.
A ta place, je ne tiendrais pas compte de cette détection de Spybot-S&D.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 20 Juil 2008, 12:02

Bonsoir ou Bonjour,

Voilà, j’ai encore une fois essayé de faire ce que tu m’as demandé. Mais cela ne semble pas toujours ce faire correctement.

1- réenregistrer les deux DLLs indispensables au Service de transfert intelligent en arrière-plan:

regsvr32.exe¤/u¤"%windir%\system32\qmgr.dll". C’était déjà enregistré.
regsvr32.exe¤/u¤"%windir%\system32\qmgrproxy.dll". OK. C’est enregistré maintenant.
Question : le réenregistrement de DLLs peut-il se faire séparément ou doit-il se faire pour les deux en même temps ?

2- faire démarrer le service et le mettre en type de démarrage Automatique

Dans Statut du service, cliquer sur Démarrer  Impossible : message d’erreur. Erreur 1067.
Voir fichier zip. Mais après contrôle, il est quand même activé.

3- Arrêter le PC puis le faire démarrer. OK

4-Y a-t-il encore des messages d'erreur ? Oui, toujours des messages d’erreurs
Generic Host Process pour Win32 Services & Erreur du programme, Unknown a généré des erreurs et sera fermé par Windows...voir fichier zip
Toujours les fichiers en cause : svchost.exe.mdmp et appcompat.txt

5-Après plus de 5 redémarrages, il n’y a plus de messages d’erreurs !?

6- Un nouveau message d’erreur de Dr Watson non irrécupérable (première fois que je vois ce message)
Impossible d’ouvrir le fichier journal Dr Watson. Cliquez sur Ok pour explorer un autre répertoire.
Windows a envoyé le code = 80. Le fichier existe.

Autres remarques

Pour info :

J’ai refait un MBAM-log, celui-ci a trouvé 2 fichiers infectés (voir le rapport dans fichier zip)
Fichier(s) infecté(s):
C:\WINDOWS\system32\k86.bin (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.

J’ai refait également un scan Antivirus BitDefenfer (voir le fichier journal de BitDefender dans le fichier zip)
BitDefender a résolu 10 problèmes.
Je n’ai pas encore supprimé The Avenger du PC, vu que celui ne fonctionne pas encore correctement.
Peut-il être supprimé ou faut-il encore attendre ?

Here is the link for the file you can download the zip file.
http://www.yousendit.com/download/Q01FUGhWUnJOMUEwTVE9PQ
http://www.yousendit.com/download/Q01FU ... MUEwTVE9PQ

Merci pour ton temps.
A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 21 Juil 2008, 00:43

Bonsoir,


BitDefender n'a rien trouvé (hormis les sauvegardes de The Avenger et HijackThis).


Peux-tu mettre les deux fichiers svchost.exe.mdmp et appcompat.txt dans une archive, puis déposer cette dernière sur YouSendIt?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 21 Juil 2008, 19:37

Bonsoir NickW,

Voilà, je t'envoie pour analyse ce que j'ai pu trouvé sur les fichiers appcompat.txt et (svhost).exe.mdmp
Je n'ai rien trouvé sur svhost.exe.mdmp, mais trouvé autres traces de exe.mdmp dans le dossier Deckard.
HelpCtr.exe.mdmp
drwtsn32.exe.mdmp
wmplayer.exe.mdmp
Impossible d'ouvrir car applications inconnues. voir fichier zip.
Windows demande de choisir un programme pour l'ouverture, mais je n'ai aucune idée pour le choix.

Here is the link for the file you download the zip file:

http://www.yousendit.com/download/Q01HQ3QrdzhwTVd4dnc9PQ
http://www.yousendit.com/download/Q01HQ ... TVd4dnc9PQ

A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 23 Juil 2008, 00:19

Bonsoir,

Peux-tu faire deux nouveaux tests:

1/ Désactiver les mises à jour automatiques
Voir dans le Centre de Sécurité
Via Démarrer---->Paramètres---->Panneau de configuration

Lors des (re)démarrages suivants, as-tu toujours des messages d'erreur?


2/ Aller sur WindowsUpdate depuis Internet Explorer
Rechercher les mises à jour disponibles, sans les installer.
La procédure se déroule-t-elle sans message d'erreur?


Autre manip:

Peux-tu voir s'il existe des vidages mémoire (alias dumps) récents?
Dans l'Explorateur, ouvrir le dossier C:\Windows\Minidump
Si ce dossier contient des fichiers Mini******-**.dmp (les * sont des chiffres donnant la date) datés du mois de juillet, il faudrait déposer les deux fichiers les plus récents sur YouSendIt.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités