[OK] Analyse de log hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 08 Aoû 2005, 12:32

Bonjour,

Une piste? Les autorisations.

Une p'tite manip dans le registre:

Taper Démarrer--->Exécuter--->regedit [OK]

Descendre dans le panneau de gauche jusqu'à la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar
(on "déplie" chaque clé en cliquant sur le petit + qui la précède)

"Surligner" la clé ISTbar dans le panneau de gauche.
Faire un clic droit, choisir Autorisations...
Dans l'onglet Sécurité, pour ton profil, cocher Autoriser sur la ligne Contrôle total, puis clic sur OK
Ensuite sauvegarder la clé (on ne sait jamais...):
"Surligner" la clé ISTbar dans le panneau de gauche
Fichier--->Exporter
Choisir un emplacement, puis un nom de fichier explicite (exemple: HKLM-istbar-050808), et cliquer sur Enregistrer
Puis clic droit sur la clé ISTbar, et choisir Supprimer.

Note très importante:
Faire très attention en utilisant regedit.
Toutes les saisies sont enregistrées en direct, sans possibilité d'annuler ni de revenir en arrière.
Une fausse manip pourrait bloquer la machine complètement.



D'autre part, pourrais-tu envoyer le contenu du fichier C:\WINDOWS\wininit.ini

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Oravioli » 08 Aoû 2005, 12:48

Re re re salut

Pour les registres, j'avais déjà vérifié mes autorisations...

Voici le contenu de wininit.ini
[Rename]
NUL=C:\WINDOWS\UnDino.exe

Est ce que tu pense que quand le registre sera nettoyé, on aura résolu le problème ?
Par rapport à ça, je me pose la question suivante : où est l'exécutable malveillant ?

A plus.
Oravioli
 
Messages: 27
Inscription: 31 Déc 2004, 15:39

Messagede nickW » 09 Aoû 2005, 12:49

Bonjour,

Question subsidiaire:
Quelles sont les propriétés de ce fichier C:\WINDOWS\UnDino.exe ?
Clic droit --> Date de création, date de modification, date d'accès, auteur,...

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Oravioli » 10 Aoû 2005, 13:48

Salut nick,
Désolé pour ma réponse tardive mais j'ai absent hier.

Propriétés de UnDino.exe
Création : 17/02/2001
Modifié : 11/06/2001
Version : 2.11.15.0

A plus...
Oravioli
 
Messages: 27
Inscription: 31 Déc 2004, 15:39

Messagede nickW » 13 Aoû 2005, 08:51

Copie du nouveau message de Oravioli.

Pas de nouveau sujet lorsqu'il s'agit d'une suite, sinon personne n'y comprend plus rien. Merci.


Salut,
Merci pour toutes les manips précédentes qui ont permis d'éliminer beaucoup de problème. Il m'en reste UN mais coriace...

Ad-Aware et Spybots me détectent toujours tous les 2 un indésirable logé dans la base de registre mais pas moyen de le supprimer par ces 2 utilitaires.
J'ai essayé par la base de registre : suppression impossible. j'ai vérifié mes autorisations, elles sont au maximum.

HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar

Je pense que je ne peux pas le supprimer car il est utilisé par un autre programme... surement IE.
Comment faire pour le désactiver d'IE ?
Et si je désinstalle IE ?

Merci pour vos réponses
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 13 Aoû 2005, 09:08

Bonjour,

Il est pratiquement impossible de désinstaller IE, complètement imbriqué dans Windows.

De plus, de nombreux programmes (antivirus par exemple) utilisent le moteur d'IE pour leurs mises à jour.

Il faut
1/ utiliser Firefox ou un autre navigateur (Mozilla, Opera, .....)
2/ interdire via le pare-feu à Internet Explorer d'accéder à l'extérieur

Pourrais-tu télécharger Process Explorer 9.12
http://www.sysinternals.com/Utilities/P ... lorer.html

Tu décompresses l'archive dans un dossier qui lui est réservé.

Tu lances procexp.exe

Dans le menu Find, tu recherches istbar (pour savoir quel processus utilise quoi dans ce dossier).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Oravioli » 13 Aoû 2005, 21:31

Bonsoir,
Ok pour ta remarque...désolé
J'ai lancé Process Explorer mais j'ai dépassé son champ de compétences pour y comprnedre quelque chose. Comment puis_je faire pour t'envoyer des éléments ?
J'ai utilisé Find mais pas de trace de ISTxxx à l'horizon...

Je me décourage... ca sent le reformatage...car mon ordinateur à l'heure qu'il est c'est du gruyère...et je n'ose plus laisser un quelconque mot de passe et encore moins de numéro de CB même sur les sites écurisés.
Oravioli
 
Messages: 27
Inscription: 31 Déc 2004, 15:39

Messagede nickW » 14 Aoû 2005, 10:10

Bonjour,

Que contient exactement la clé de registre?

Démarrer--->Exécuter--->regedit OK
Aller jusqu'à la clé: HKEY_LOCAL_MACHINE\SOFTWARE\ISTBAR

Fichier--->Exporter
Choisir un emplacement, puis un nom explicite (par exemple: HKLM-istbar-050815.reg)

Poster en réponse le contenu du fichier HKLM-istbar.reg

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Oravioli » 14 Aoû 2005, 14:07

Bonjour,
Voici le contenu de la clé ISTBAR

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar]

les 2 sous-clés Historyfiles et Hsitorystring ne peuvent être ouvertes :
j'ai le message : impossible d'ouvrir la clé : erreur lors de l'ouverture de la clé
et si je veux les exporter :
La branche sélectionnée n'existe pas : Vérifier que le chemin d'accès fourni est correct

A suivre,
Oravioli
 
Messages: 27
Inscription: 31 Déc 2004, 15:39

Messagede Vazkor » 14 Aoû 2005, 16:23

Bonjour,

Juste une suggestion.
Il y a chez Symantec un Removal Tools pour l'Adware.Istbar
http://securityresponse.symantec.com/av ... structions
Cela vaudrait peut-être la peine de l'essayer.

Voir
http://securityresponse.symantec.com/av ... .list.html
et la liste complète ici:
http://securityresponse.symantec.com/av ... .list.html


@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 47 invités