analyse log Hijack - éradication de spywares/malwares

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 27 Nov 2005, 16:59

Re-

Si je comprends bien, tu supprimes cette clé ... et elle n'est pas supprimée!

Il est possible qu'un programme de surveillance empêche cette suppression.

Je te conseille d'imprimer cette procédure, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet pour les étapes 5 à 8).


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Création du fichier tuer-findtheweb.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans un éditeur de texte (Bloc-notes, Notepad, Wordpad par exemple) et enregistrer le fichier sous le nom de tuer-findtheweb.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir Tous les fichiers dans la liste déroulante de Type lors du Enregistrer sous..
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_USERS\S-1-5-21-1085031214-1682526488-1343024091-500\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"=-





Étape 2: Pas de processus de contrôle d'intégrité
Désactiver CounterSpy (s'il est actif)
Désactiver SpySweeper (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver SpySweeper.exe et cliquer sur Terminer le processus
Trouver SunProtectionServer.exe et cliquer sur Terminer le processus
Trouver sunserver.exe et cliquer sur Terminer le processus
Trouver sunThreatEngine.exe et cliquer sur Terminer le processus
Trouver WRSSSDK.exe et cliquer sur Terminer le processus


Étape 3: Utilisation du fichier tuer-findtheweb.reg
Faire un clic droit sur tuer-findtheweb.reg, dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 4: Vérification
Utiliser l'éditeur de registre pour vérifier si cette clé est encore présente.
Démarrer--->Exécuter , taper regedit puis clic sur OK
Note très importante:
Faire très attention en utilisant regedit.
Toutes les saisies sont enregistrées en direct, sans possibilité d'annuler ni de revenir en arrière.
Une fausse manip pourrait bloquer la machine complètement.


Descendre dans le panneau de gauche jusqu'à la clé indiquée ci-dessous:
(on "déplie" chaque clé en cliquant sur le petit + qui la précède)

HKEY_USERS\S-1-5-21-1085031214-1682526488-1343024091-500\Software\Microsoft\Internet Explorer\Main

Dans le panneau de droite, trouver la sous-clé:
Default_Search_URL
et la supprimer

Si la suppression de cette sous-clé est refusée, il faut modifier les autorisations sur la clé principale:
clic droit sur la clé, choisir Autorisations... ---> choisir "Tout le monde" ---> dans la colonne "Autoriser" cocher la case devant "Contrôle total", puis clic sur Appliquer puis OK.
Ensuite supprimer la sous-clé (pas la clé principale).


Étape 5: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 6: Pas de processus de contrôle d'intégrité
Désactiver CounterSpy (s'il est actif)
Désactiver SpySweeper (s'il est actif)
Démarrer--->Exécuter
Taper taskmgr puis clic sur OK
Cliquer sur l'onglet Processus
Vérifier que la case devant Afficher les processus de tous les utilisateurs est cochée
Clic sur Nom de l'image pour avoir un classement alphabétique
Trouver SpySweeper.exe et cliquer sur Terminer le processus
Trouver SunProtectionServer.exe et cliquer sur Terminer le processus
Trouver sunserver.exe et cliquer sur Terminer le processus
Trouver sunThreatEngine.exe et cliquer sur Terminer le processus
Trouver WRSSSDK.exe et cliquer sur Terminer le processus


Étape 7: Utilisation du fichier tuer-findtheweb.reg
Faire un clic droit sur tuer-findtheweb.reg, dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.


Étape 8: Vérification
Utiliser l'éditeur de registre pour vérifier si cette clé est encore présente.
Démarrer--->Exécuter , taper regedit puis clic sur OK
Note très importante:
Faire très attention en utilisant regedit.
Toutes les saisies sont enregistrées en direct, sans possibilité d'annuler ni de revenir en arrière.
Une fausse manip pourrait bloquer la machine complètement.


Descendre dans le panneau de gauche jusqu'à la clé indiquée ci-dessous:
(on "déplie" chaque clé en cliquant sur le petit + qui la précède)

HKEY_USERS\S-1-5-21-1085031214-1682526488-1343024091-500\Software\Microsoft\Internet Explorer\Main

Dans le panneau de droite, trouver la sous-clé:
Default_Search_URL
et la supprimer

Si la suppression de cette sous-clé est refusée, il faut modifier les autorisations sur la clé principale:
clic droit sur la clé, choisir Autorisations... ---> choisir "Tout le monde" ---> dans la colonne "Autoriser" cocher la case devant "Contrôle total", puis clic sur Appliquer puis OK.
Ensuite supprimer la sous-clé (pas la clé principale).


Étape 9: Redémarrage
Redémarrer en mode normal.
Me dire si tu as dû supprimer la clé manuellement (avec modification des autorisations).
Renvoyer un nouveau log HijackThis avec deux rapports de RegSrch.vbs similaires aux précédents (voir mon message du Mer 23 11 2005 à 11h48:55).


Ensuite refaire les mêmes manips en ouvrant une session sous le code du deuxième utilisateur.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

suite... encore..

Messagede SLYL » 27 Nov 2005, 19:12

Bonsoir NickW,

Ca avance puisque j'ai réussi à supprimer la clef juste avec le fichier donc sans avoir à intervenir dans la base de registre... Voici les rapports demandés, sachant que pour la commande cmdservice, aucune instance n'est trouvée. Il est à noter que je n'ai jamais réussi à arrêter le processus WRSSSDK.exe... Par contre windows ne voulant pas redémarre en mode normal... j'ai utiliser Ace Utilities pour nettoyer les entrées dans la base de registre erronées... etc... Jusqu'ici toujours pas de démarrage en mode normal, puis j'ai fait un nettoyage des fichiers internet, le programme propose de rebooter directement, j'ai accepté et au miracle le mode normal fonctionne de nouveau... par contre en faisant un HJT, j'ai vu de nouveau la ligne "findthewebsiteyouneed"... ce qui signifie que cette sal... de spyware est toujours présente ! Que fait-on... Je m'arrache de plus en plus les cheveux... doit-on en arriver au formatage... J'ai de nouveau utiliser le fichier tuer-findtheweb en mode sans échec, mais la ligne revient tout de même en mode normal... Ca semble donc bien compliqué et il doit y avoir un programme qui recrée automatiquement cette ligne ! Je me demande vraiment à quoi sert le programme WRSSSDK.exe, et s'il n'est pas la cause de tous ces soucis.

A+

SLYL

Logfile of HijackThis v1.99.1
Scan saved at 18:10:54, on 27/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

******************************
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "default_search_url" 27/11/2005 18:13:17

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\S-1-5-21-1085031214-1682526488-1343024091-500\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main]
"Default_Search_URL"="about:blank"
SLYL
 
Messages: 18
Inscription: 13 Nov 2005, 10:32

Messagede nickW » 27 Nov 2005, 19:22

Bonsoir,
SLYL a écrit:par contre en faisant un HJT, j'ai vu de nouveau la ligne "findthewebsiteyouneed"...


Où? :shock:

Je ne la vois pas (ni dans le log HijackThis, ni dans le log RegSrch).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Réponse

Messagede SLYL » 27 Nov 2005, 19:25

Le voici !

Logfile of HijackThis v1.99.1
Scan saved at 19:25:04, on 27/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [SunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
SLYL
 
Messages: 18
Inscription: 13 Nov 2005, 10:32

Messagede nickW » 27 Nov 2005, 19:37

Re-

Où vois-tu la ligne la ligne "findthewebsiteyouneed"? :shock:

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Réponse

Messagede SLYL » 27 Nov 2005, 19:40

En R1 -

"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com "
SLYL
 
Messages: 18
Inscription: 13 Nov 2005, 10:32

Messagede nickW » 27 Nov 2005, 19:48

Re-

Ce que tu vois est une clé "HKCU", c'est-à-dire HKEY_CURRENT_USER

La clé erronée était de type HKEY_USERS

Re-
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re

Messagede SLYL » 27 Nov 2005, 20:02

Je ne comprends pas cette distinction, puisque dès le début des problèmes que j'ai rencontré, elle est apparue sous la forme HKCU... Dans tous les cas, elle est repérée par spysweeper comme étant un ad-ware...

SLYL
SLYL
 
Messages: 18
Inscription: 13 Nov 2005, 10:32

Confirmation

Messagede SLYL » 27 Nov 2005, 20:09

En fait, c'est pire que je ne pensais puisque la clef est présente dans HKU et HKCU... elle est donc présente aux deux endroits...

SLYL
SLYL
 
Messages: 18
Inscription: 13 Nov 2005, 10:32

Messagede nickW » 27 Nov 2005, 20:11

Re-

Objection, votre Honneur!

Depuis le début SpySweeper détecte des clés "HKU", c-à-d HKEY_USERS

Microsoft a écrit:HKEY_CURRENT_USER
Contient la racine des informations de configuration relatives à l'utilisateur qui a ouvert une session. Les paramètres des dossiers, des couleurs d'écran et du Panneau de configuration de l'utilisateur sont enregistrés à cet emplacement. Ces informations sont associées au profil de l'utilisateur. L'abréviation "HKCU" est parfois utilisée pour faire référence à cette clé.
HKEY_USERS
Contient tous les profils utilisateur chargés activement sur l'ordinateur. HKEY_CURRENT_USER est une sous-clé de HKEY_USERS. L'abréviation "HKU" est parfois utilisée pour faire référence à HKEY_USERS.


La présence de cette clé est tout à fait normale!
Il faut simplement qu'elle ne contienne pas de findthewebsiteyouneed


Re-
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités

cron