Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Salut,

 

Voila j'ai fait un scan avec Avira et il m'a détecté la presence de l'infection WORM/Autorun.cxl dans un keygen évidement......

 

J'ai mit en quarantaine puis au reboot (c'est la qu'apparement l'infection se lance),deja j'arrivais sur un choix entre ma session et mon compte administrateur.Chose qui est pas normal.

 

J'ai donc remit une ancienne image disk et je suis allé voir sur le site d'Avira ce qu'il disent de ce truc.

 

Voila la description qu'il en font (pas la peine de tout lire il y a juste une clés qui apparait chez moi) :

 

Files

 

It copies itself to the following locations:

 

• %SYSDIR%\explorer.exe

• %SYSDIR%\Service.exe

• %drive%\autorun.exe

 

The following files are created:

 

– Non malicious file:

• %drive%\autorun.inf

 

– %SYSDIR%\tmp.exe Further investigation pointed out that this file is malware, too. Detected as: Worm/Autorun.cxl

 

Registry

 

The following registry key is added in order to run the process after reboot:

 

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

• "Network Services"="%SYSDIR%\Service.exe"

 

 

 

The following registry keys are changed:

 

Various Explorer settings:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

New value:

• "Hidden"=dword:00000002

 

Various Explorer settings:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

New value:

• "NoFolderOptions"=dword:00000001

 

Various Explorer settings:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

New value:

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

 

Disable Regedit and Task Manager:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

New value:

• "DisableTaskMgr"=dword:00000001

 

J'ai en tout premier vérifié les clés du registre,la seul qui est la même est celle la (mit en gras ci dessus) :

 

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

New value:

• "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

 

Ma 1er question est donc quesque je fait avec cette clés,c'est quoi sa valeur d'origine ?

 

Ensuite quand il disent qu'il se copie lui même dans explorer.exe,services.exe,et autorun .exe,mon antivirus devrait le détecter lorsqu'il scan ces processus,et comme rien n'est détecté a priori tous va,rassurez moi ?

 

Pas de présence de tmp.exe,et pour autorun.exe,j'avais désactivé le démarrage auto des CD donc a priori pas de problème a ce niveau,rassurez moi aussi ?

 

Voila merci de me dire quoi faire pour nettoyer les traces laissé par ce machin si il y en a.

 

@+++

 

PS: avira et mes autres scan ne détecte plus rien.

Modifié par TA-K-2-PT

Posté(e)

Bonjour,

 

gaffe avec les manips si on n'est pas certain de ce qu'on est en train de bricoler, parfois on a des surprises. :P

Je transfère ton topic vers la section de désinfection le plus simple et le plus rapide sera d'ouvrir une demande, poste dans ta prochaine réponse un rapport HijackThis 2.0.2 stp.

Posté(e) (modifié)

Re,

 

gaffe avec les manips si on n'est pas certain de ce qu'on est en train de bricoler, parfois on a des surprises.

 

En fait j'ai pas vraiment fait de manips.Le seul truc c'est que quand avira a détecté l'infection je l'ai mit en quarantaine,puis suprimé de celle ci.

 

Et au reboot c'est la que j'avais a l'écran le choix entre ma session normale et la session administrateur.C'est pas un démarrage normal,j'ai donc réinstallé une ancienne image,puis refait un check up complet.

 

Voila le Log HJT, je pense pas qu'il y ai de problèmes.Le seul truc c'est cette clés dans le registre qui me chiffone.(cf mon post précédent).

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:35:51, on 25/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\Avira Premium Security Suite\sched.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe

C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe

C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe

C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avfwsvc.exe

O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe

O23 - Service: Avira Premium Security Suite Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\sched.exe

O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe

O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE

O23 - Service: Avira Premium Security Suite MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 6801 bytes

Modifié par TA-K-2-PT
Posté(e)

Il manque des choses là dedans, la lecture ne est plus difficile, mais il y a au moins un reste visible.

 

* Télécharge SmitFraudFix de S!Ri sur le bureau.

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

* Double-clique sur smitfraudfix.exe

* Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.

* Poste le rapport sur le forum dans ta prochaine réponse.

 

Si process.exe est détecté par ton antivirus ou un autre logiciel, n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il sert à terminer des processus, d'où l'alerte émise par ces antivirus qui y voient un danger potentiel. (doc).

Posté(e) (modifié)

Voila le rapport SmitFraudFix en affichant tout les fichier (cachés et de l'OS) :

 

SmitFraudFix v2.322

 

Rapport fait à 12:11:41,67, 26/05/2008

Executé à partir de C:\Documents and Settings\Pal0Miz\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

Fichier hosts corrompu !

 

127.0.0.1 www.legal-at-spybot.info

127.0.0.1 legal-at-spybot.info

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pal0Miz

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pal0Miz\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

[Winlogon\Notify\System Safety Monitor]

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Merci pour ton aide

 

PS: je comprend pas pourquoi le rapport HJT n'est pas complet.j'avais bien "délocké" mon fichier Hosts avant le scan.Ensuite j'ai pensé que ça pouvait venir de réglages dans SSM.

Mais non en fermant SSM j'obtiens le même rapport.Quesqui fait que le rapport n'est pas complet ?

Modifié par TA-K-2-PT
  • 3 semaines après...
Posté(e)

Relax, ce n'est pas dangereux. :P

Je" dis qu'il manque des choses parce qu'il y a eu des manips avant la désinfections, et on n'aura pas les rapports.

 

Aurais-tu bidouillé avec des utilitaires de sécurisation, par exemple des restrictions NTFS, ou des restrictions pour l'accès à regedit, ce genre de choses ? Je pense que c'est plus toi qui a bricolé qu'un malware. (ce n'es pas un reproche)

 

Si tu as mis en quarantaine ton keygen infecté sans le lancer/exécuter, tu n'auras pas été infecté. Pour les comptes, ça peut venir du'n réglage de base de registre ou une bidouille dans un programme de tweak (réglages avancés du système).

 

Ton dernier rapport HijackThis est clean, seulement ceci :

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
peut venir d'un malware (traité par SmitFraudFix logiquement) ou de configurations avancées faites par l'utilisateur. SmitFraudFix ne dit rien, donc je pencherais plus pour la voie non nuisible.

 

Voici de quoi occuper tes clés USB ou autres si jamais tu penses qu'elles sont infectées, on le saura :

 

  • Télécharge Flash Disinfector de sUBs sur le bureau.
  • Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
  • Branche les supports amovibles, démarre-les (disques dur externes par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le poste de travail.
  • Double-clique sur Flash_Disinfector.exe.
  • Le nettoyage est rapide, un message informer de la fin des opérations.
  • Si un rapport est généré en cas d'infection, sauvegarde-le et poste le dans la prochaine réponse.
  • S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.

 

@ toute

Posté(e) (modifié)

Re Falkra

 

Je voudrait apporter quelques précisions. Alors effectivement je pense que je n'ai pas été infecter,car je n'ai pas exécuté le keygen.

 

Pour la ligne du log HJT (07) ça doit venir de la restriction sur regedit/regedit32 que j'ai mit via AVG (Ewido).

 

Par contre pour le fait que lorsque je démarre j'ai le choix entre ma session admin et ma session normale,ça me l'a fait souvent sur mon pc et sur le pc de ma mère.Souvent après la suppression ou mise en quarantaine d'une infection.

 

Si je pouvait savoir quelle ligne du registre modifier pour démarrer directement la session se serait bien.Car pour le PC de ma mère qui n'as pas de prog d'image disk,j'avais formater.Et sa prend pas mal de temp.

 

Pour finir pas de restriction NTFS.En gros la seul restriction est celle d'AVG.

 

Je lancerais le scan Flash Disinfector ce soir car 135Go sa risque d'être long.

 

Relax, ce n'est pas dangereux. :P

Viiii je sais suis un peu parano (pourquoi je dit "un peu" :P)

Modifié par TA-K-2-PT
Posté(e)

Flash Disinfector est rapide, il ne regarde pas l'intégralité des données, mais juste là où ça peut être problématique. :P

 

Ok, pour AVG.

 

Pour ton comtpe, va dans le panneau de configuration puis choisis "Comptes Utilisateurs".

Clique sur "Modifier la manière dont les utilisateurs ouvrent et ferment une session"

Suis les indications inscrites, tu pourras paramétrer comme tu le souhaites. :P

Posté(e)

Effectivement c'est rapide (5/10 sec.).Donc bah rien a signaler tout est clean.

 

Merci pour ton aide et pour l'explication sur l'ouverture du compte :P

 

@+++

Posté(e)

Ok, donc tu n'as pas été infecté, l'antivirus a bien fait son boulot et a bloqué tout ça avant que ça ne devienne dangereux.

Un point pour Antivir. :P

Et du coup, pas de long discours sur "il faut installer ceci cela" ta config sécurité est ok.

Par contre, et tu n'y couperas pas... les Keygens, les cracks, etc... ben tu le vois toi-même, c'est dangereux...

 

N'hésite pas en cas de questions, et aussi si tu cherches des logiciels open source, freewares et légaux.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...