Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Comment ça : regedit inconnu par hitjaktis ??

Arnaud

Par Arnaud
dans Analyses et éradication malwares

 Partager

Messages recommandés

Arnaud Full Patch Member

Arnaud

Posté(e)
Posté(e) (modifié)

Extrait d'un rapport d'Hitjakthis, plus bas.

 

 

J'exécute un scan à distance avec MalwareBytes. 17 saletés déjà repérées. Et Htjakthis qui me dit ça :

 

regeditinc.jpg

 

 

Comment ça : regedit inconnu ?? Soit il ne devrait pas être là où il est, soit regedit lui-même est infecté ? C'est ce que je trouve partout en lançant une recherche Google sur REGEDIT... mais c'est pareil à chaque fois pour n'importe quel processus Windows.

 

Ca vous parle, ça :P

 

Merci :P

Modifié par Arnaud

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir Arnaud :P

 

En effet, regedit.exe se trouve normalement sous XP dans %systemdrive%\Windows\ et non pas dans %systemdrive%\Windows\system32\

 

C'est donc fortement suspect en l'état. As-tu été à terme de ton analyse MBAM ? Si oui, peux-tu en poster le rapport ? Rencontres-tu des soucis particuliers ?

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)
Bonsoir Arnaud :)

 

En effet, regedit.exe se trouve normalement sous XP dans %systemdrive%\Windows\ et non pas dans %systemdrive%\Windows\system32\

 

C'est donc fortement suspect en l'état. As-tu été à terme de ton analyse MBAM ? Si oui, peux-tu en poster le rapport ? Rencontres-tu des soucis particuliers ?

 

"Rencontres-tu des soucis particuliers ?" : Moi ? euh... non :P 17 fichiers touchés par 2 virus différents, plantage pendant le scan de MalwareBytes, Avast qui dézinguait à tout va au scan du redémarrage (donc il en restait) ... et tout ça à 800 km de chez moi :P

 

Heureusement j'avais envoyé le portable avec un cd d'Hiren's boot, et j'ai fait faire un "ghost" en restauration, après sauvegarde à travers TeamWiever, restauration des données, réinstal des progs, enfin : rien de bien méchant, quoi... La bonne soirée :P

 

C'est fou tout ce qui peut se loger ds \System Volume Information ! Cher=z moi, la surveillance n'est active que sur C: , pas sur les autres disques.

 

Reste un pb, et de taille : Avast v. 5 ralentit énormément le système avec son scan résident. Chez moi, je l'ai carrément désactivé. Je ne le réactive que pour les scans, notamment avec MBAM. Lourd, Avast dans cette version :P Et d'interface pas commode...

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour Arnaud :P

 

Zut, j'avais "zappé" le "à distance" du premier post. Tu n'as pas l'air d'avoir besoin de moi manifestement :P

 

Personnellement je n'aime pas trop les Ghost pour nettoyer un PC ; je ne trouve pas ça très pédagogique :P Au final, l'utilisateur ne s'interroge pas sur ses habitudes et sur ce qui s'est passé, et bien souvent l'origine du souci n'est pas réglé, seulement les symptômes avec la réinitialisation du système à un état original propre. Mais c'est une méthode rapide certainement, que de "ghoster". Elle a ses partisans.

 

Bonne continuation, bon surf.

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)
Bonjour Arnaud ;)

 

Zut, j'avais "zappé" le "à distance" du premier post. Tu n'as pas l'air d'avoir besoin de moi manifestement :)

 

Personnellement je n'aime pas trop les Ghost pour nettoyer un PC ; je ne trouve pas ça très pédagogique :P Au final, l'utilisateur ne s'interroge pas sur ses habitudes et sur ce qui s'est passé, et bien souvent l'origine du souci n'est pas réglé, seulement les symptômes avec la réinitialisation du système à un état original propre. Mais c'est une méthode rapide certainement, que de "ghoster". Elle a ses partisans.

 

Bonne continuation, bon surf.

"Tu n'as pas l'air d'avoir besoin de moi " : si, si ! ;) Autrement, je n'aurais pas appelé au secours :P

 

Ghost ? Pas le choix, là :

 

1- trop de fichiers virés par Avast durant le scan au redémarrage

 

2- bécane d'une lenteur .... :P Mais je pense qu'Avast y était pour qqch. Je ne sais pas encore comment le régler pour qu'il ne ralentisse pas trop la machine. Du coup, je désactive le scan résident, chez moi. Pas malin, mais bon... Cette version 5 est d'une lourdeur !

 

J'ai préféré repartir sur des bases saines. D'où ça venait ? Pas assez de scans réguliers, échanges massifs de .PPS rigolos : on connaît :P

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bon.

 

Et malgré la prise à distance, tu es en mesure de me donner des rapports suite aux outils que je te demanderais ?

 

En l'état, si tu as restauré via un "ghost", les soucis et symptômes ne sont plus présents, non ?

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)
Bon.

 

Et malgré la prise à distance, tu es en mesure de me donner des rapports suite aux outils que je te demanderais ?

 

En l'état, si tu as restauré via un "ghost", les soucis et symptômes ne sont plus présents, non ?

 

Tout est OK maintenant (enfin : depuis minuit et des poussières ). J'ai mis à jour les softs, etc. Pour le "ghost" en restauration, j'ai dicté par téléphone la marche à suivre : avec TeamWiever , impossible de redémarrer ET garder le contrôle bien sûr.

 

Pour les rapports, j'ai un rapport HitJackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:39:29, on 20/02/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe

C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\TeamViewer\Version4\TeamViewer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\totalcmd\TOTALCMD.EXE

D:\Logiciels\A 2 - Après Internet\0 - Sécurité\HijackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_BAND_SEARCHBAR_HTML

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lemonde.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [smoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [cleanPrefetch] C:\WINDOWS\Prefetch\CLEAR.CMD

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [imPlayok] C:\Documents and Settings\CLAUDINE\imPlayok.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://ma-config.com/activex/MaConfig_3_5_3_0.cab

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

 

--

End of file - 7224 bytes

 

et le rapport INCOMPLET de MBAM (plantage pendant le scan : il a trouvé 17 fichiers infectés par 2 virus) :

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 137784

Temps écoulé: 12 minute(s), 34 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Worm.Kolab) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Kolab) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\msdrv32.exe (Worm.Kolab) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\17.scr (Worm.Kolab) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\74.scr (Worm.Kolab) -> Quarantined and deleted successfully.

 

Et Avast , à l'occasion du scan au redémarrage, en a trouvé encore... Je leur ai dit de stopper, et passer à Acronis.

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Si je saisis bien, la restauration que tu fais effectuer n'est pas propre alors ? :P

 

Ça va être compliqué de faire cette désinfection, avec toi en intermédiaire sur un PC à distance où on n'est pas à l'abri que l'utilisateur à l'autre bout ne fasse des manipulations de son côté. Tu sembles enchaîner les outils là en plus, sans plus de logique. Pourquoi ne pas avoir laissé le scan Avast aller à terme ?

Arnaud Full Patch Member

Arnaud

Posté(e)
  • Auteur
Posté(e)
Si je saisis bien, la restauration que tu fais effectuer n'est pas propre alors ? :P

 

Ça va être compliqué de faire cette désinfection, avec toi en intermédiaire sur un PC à distance où on n'est pas à l'abri que l'utilisateur à l'autre bout ne fasse des manipulations de son côté. Tu sembles enchaîner les outils là en plus, sans plus de logique. Pourquoi ne pas avoir laissé le scan Avast aller à terme ?

 

Ca a marché :P Les rapports que je t'ai donné sont ceux d'avant la désinfection.

 

Phase 1 : avec Team, j'ai commencé à faire scanner avec MBAM

Phase 2 : le fils a rappliqué à ma demande (pour la manip avec Acronis sur Hiren's Boot CD qui inquiétait mon amie). Je l'ai guidé au tél.

Phase 3 : Re-belote avec Team, pour tout remettre à jour et surtout restaurer les données et les fichiers de config que j'avais copiés sur la partition secondaire.

 

Saloperies de virus !!

 

Et bien sûr, ils exploitent à fond la zone du répertoire \system Volume Information ! Je n'active la surveillance que sur C (chez moi et partout).

 

A présent, ça remarche nickel. Jusqu'à la prochaine fois :P A force de s'échanger des .PPS avec ses copines, forcément...

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour :P

 

Je suis navré de te faire attendre sur ton sujet comme cela. Des raisons indépendantes de ma volonté font que je suis très peu disponible en ce moment. Comme la situation ne peut durer comme cela, j'ai demandé le renfort de l'Equipe Sécu de sorte de reprendre les sujets dont je n'ai le temps de m'occuper.

 

Je suis navré de ces délais à rallonge et de ce gros désagrément que cela doit t'occasionner. Je te prie de m'excuser, et je te souhaite une bonne continuation dans de nouvelles mains :P

 

Un Helper reprendra la suite de ce sujet.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...