Cheval de Troie "sockins32"

[dref01]

bien vu

[Falkra]

Je vais dans

panneau conf \system\restauration system

Désolé

 

Bon je vais essayer

j'ai mis trojan remover sur une clef USB et je vais basculer sur le PC infecté.

Donc plus de liason pendant un certain temps avec vous

 

"Marrant" ça,

- soit vous êtes autonomes et à ce moment là, pas besoin de forums pour raconter que vous allez nettoyer seuls

- soit vous avez besoin d'un coup de main, et on peut vous en donner un, mais il faut suivre les conseils

 

:P

 

Dans la première option, je ferme le sujet, sans haine et bonne route.

Dans la 2eme option, on ouvre une vraie procédure d'analyse.

[pck94]

Bonjour Falkra

 

j'ai fais un long mail de départ.

 

Je n'ai pas l'habitude d'appeler à l'aide et donc j'ai essayer de trouver seul d'abord.

J'ai lu les sujets proche et j'ai comme je le dit télécharger via une clef USB HIJACKTHIS qui se bloque ( voir description dans mon mail de départ.

[pck94]

J'ai installé trojan remover.

Le scan se bloque lui aussi au moment suivant

 

Scan Services\subkeys

Register key : HKLM\system\curentConrolSet\Services\aspingr

Filename : C:\Windows\system32\aspingr.exe

 

HijackThis que j'avais déja installé, a été lancé aussi automatiquement sans finir non plus sa tache donc pas de rapport non plus à proposé.

[Falkra]

Comment est-ce que la machine en question se connecte au net ?

 

Réseau filaire (ethernet) vers une box qui fait routeur ?

[pck94]

J'ai une freebox

Puis un firewall cisco 501 et chaque PC est relié au firewall ce qui permet d'avoir un petit reseau protégé du monde extérieur.

Chaque PC a une adresse "DHCP" attibué par le firewall.

J'ai vérifié la carte reseau du PC infecté grace à une impression sur l'imprimante reseau elle aussi connecté au firewall.

J'ai essayé de redemarrer en mode sans echec et j'ai vu que ma machine reboot toute seule ce qui n'est jamais arrivé.

C'est comme si tout ce qui pourrait nous aider à erradiquer ce problème est verrouillé !

[Falkra]

Ok. Est-ce que ton antivirus fonctionnait correctement la dernière fois que tu l'as croisé ?

[pck94]

Oui mon antivirus fonctionnait. Des qu'il y a une MAJ, je la fait. Je ne vais pas voir mes courriers tant que la MAJ de l'antivirus ou des MAJ Mcrosoft ne sont pas faites

C'est Avast 4.8 qui m'a alerté sur le trojan

J'ai accepté qu'il me suprime le fichier sockin32.dll.

Puis j'ai lancé un scan complet de spybot qui s'est bloqué.

 

Je ne crois pas que la situation se degrade un peu plus à chaque minute.

 

PS: comment est-on alerté qu'un nouveau message est arrivé ? Je suis obligé de repartir dans forum, choisir dans securité le sous paragraphe analyse ..., rechercher ma question depart pur découvrir qu'une question m'etait posé alors que je suis connecté en permanence et que je vois la liste des questions-réponses de ce sujet.

[Falkra]

Dans options, en haut à droite de cette page (dans la barre bleue de titre du tout premier post), tu peux faire "suivre ce sujet" et avoir une notification par mail quand il y a une réponse. Le mail est celui donné dans ton profil.

 

La dll supprimée est bien infectieuse, pas de souci là dessus.

 

Il faut un diagnostic autre :

 

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
   
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
   
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
     
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
     

S'il s'agit d'une utilisation supplémentaire de DSS :

• tu n'auras pas de boîte de dialogue (pas de OK)
  
• quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
  

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

 

Ce que fait DSS :

• crée un point de restauration dans Windows XP et Vista
  
• nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
  
• vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
  

[pck94]

Ok,

 

"copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)"

 

SVP, a quel endroit se trouvera ce fichier s'il existe ?

S'il n'est pas pas dans "mes documents", je dois aller le chercher avec MS DOS ( => cmd )