[résolu] Log de HijackThis & abreula.dll (merci)

[Clafouti]

Etrange, vraiment étrange...

Je n'y comprends rien. Tu es sur que le fichier est pas read-only ? Tu peux l'ouvrir avec l'équivalent de Notepad en Linux ?

Peux-tu lancer une vérification du disque c: (sous linux, je ne sais pas comment on fait)

[ipl_001]

Bonjour Fuse, Clafouti, bonjour à tous,

 

Un grand merci à Clafouti pour venir aider !

 

Je suis bien désarçonné !

 

Quelques idées/questions (folles) :

- comment techniquement parlant, peut-on empêcher la suppression en mode sans échec ? protection par un des rares processus qui tourne et qui serait donc infecté ?

Fuse... répète nous s'il te plaît (j'ai la flemme de tout relire) : lorsque tu supprimes en mode sans échec, est-ce que çà supprime vraiment ? est-ce que çà revient quelques secondes après (un processus qui recrée) ? est-ce que çà revient au prochain reboot (réinfection) ?

- as-tu regardé les propriétés de la .DLL ? attribut lecture seule ? droits d'accès (mets tout le monde) ?

- comment empêcher Knoppix de supprimer un fichier d'un disque Windows ??? Y a-t-il des attributs Windows dont Knoppix tiendra compte ? lecture seule ? droits d'accès ?

-Fuse, tu as listé 4 clés/valeurs du registres qui parle de ce fichier... veux-tu bien Sauvegarder les clés puis supprimer les 4 clés/valeurs incriminées ?

- je reviens sur le mode sans échec... nom de nom, pour empêcher la suppression d'un fichier, s'il n'y a pas de lecture seule, s'il n'y a pas de restriction de droit d'accès comme fichier à droit d'accès Systeme (comme la zone de restauration)... qu'est-ce que c'est ?

Veux-tu bien fermer toutes les fenêtres et lister tous les processus ?

Mon idée est qu'il y a un processus lancé par une clé inhabituelle ; pas une des clés RUN ou autre très connue mais mais que les pirates ont mis le doigt sur une clé qui est lancée même en sans échec et qui, de plus, est oubliée (laissée de côté) par HijackThis.

Je rappelle qu'il y a tout un tas de manières pour lancer un programme au démarrage de Windows... tout un tas de clés inconnus de nous et peut-être non référencées par Microsoft :

--- http://www.bleepingcomputer.com/forums/tutorial44.html

--- http://www.pestpatrol.com/pestinfo/AutoStartingPests.asp

--- http://www.silentrunners.org/sr_lauchpoints.html

--- http://www.lacave.net/~jokeuse/usenet/demarrage.html

--- http://assiste.free.fr/p/internet_attaques...e_demarrage.php

- je me demande aussi s'il n'y a pas un module -jugé comme annodin- qui passe la main à un autre module infectieux !

 

 

 

Fuse, je suis désolé de te mettre ainsi à contribution pour des tests... heureusement que tu me sembles être un utilisateur très averti !

[ipl_001]

Re,

 

S'il te plaît, Fuse, voudrais-tu bien récapituler :

 

- dans quels cas arrive-t-on à supprimer le fichier ?

- dans quels cas a-t-on un message de refus ?

- dans quels cas y a-t-il recréation, réinfection immédiate ? au reboot ?

 

Mon idée en demandant çà est : Est-ce qu'il suffit de supprimer cette fichue DLL ? auquel cas, nous pourrions demander de l'aide aux spécialistes système / réseau de Zeb'

[Fuse]

je me permets juste de répondre avant à Clafouti, que je remercie beaucoup de m'aider au passage.

 

En fait, je n'arrive rien à supprimer sous Knoppix, pas le moindre petit fichier (que cela soit sur C ou une autre partition). Pourant, je fais clic gauche et supprimer ou mettre dans la corbeille ou encore la touche 'suppr'. A chaque fois, j'ai un refus. Quelle est la bonne méthode alors ? Désolé de poser ce type de question si générale ...

[Invité tesgaz]

Salut,

 

utilise vilma registry en téléchargement sur zebulon

 

ensuite modifies les restrictions sur la clé et supprimes la clé

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abreula]

ensuite redémarres en mode sans echec et supprime le fichier

Modifié le 1 mai 2005 par tesgaz

[Invité tesgaz]

salut,

 

sinon, une autre solution,

 

il existe un petit programme qui désenregistre les dlls dans la base de registre

RegDLLOCX

http://assiste.free.fr/ftp/RegDLLOCX.vbs

cliques sur le fichier -> executer

 

ce petit log apporte 2 fonctions au clic droit sur les dlls : enregistrer - désenregistrer

 

tu cliques sur la dll et désenregister

 

a tester

[Fuse]

j'essaye de suivre ta méthode, Tesgaz, mais je ne vois pas comment je peut modifier les restrictions sur la clé (voir de modifier les droits d'accès de manière générale).

 

 

A chaque fois que je modifie une des 3 clé, elle revient à la normale dans les 10 secondes qui suivent.

[queruak]

Bonjour à tous,

 

Je ne veux pas donner un faux éspoir,mais je crois que j'ai la solution.

 

Je ne tarderais pas à la poster.

[Invité tesgaz]

avec vilma registry

 

clic droit sur la clé

redacteur permiss -< ouvre la boite de dialogue des permissions -> tu ajoutes ta session

et ensuite : prendre propriété

[Invité Stonangel]

Bonjour à tous. Télécharge cet utilitaire: Process Explorer sur

 

http://www.sysinternals.com/files/procexpnt.zip

 

dézippe le dans un répertoire alloué et place un raccourci sur le bureau

 

Démarre en mode sans échec, lance l'utilitaire:

 

Sur l'écran double clique sur winlogon.exe pour faire apparaître les proriétés clique sur Thread dans le menu déroulant en haut

 

Ensuite sélectionnne abreula.dll et clique sur Kill

 

Fais de même pour les fichiers .ini, .bak qui portent le même nom ou un nom inversé.

 

Relance Hijackthis et coche les lignes 02 et 20 correspondantes. Fixe les et ferme Hijackthis.

Modifié le 1 mai 2005 par Stonangel