Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] Log de HijackThis & abreula.dll (merci)

Fuse

Par Fuse
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir tesgaz,

 

Au fait, un programme qui pourrait donner des idées pour ce qui concerne les clés à checker -> http://www.silentrunners.org/ il s'agit d'un programme du genre HijackThis qui liste des clés criciales du registre... queruak le fait souvent employer !

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

re ipl,

 

le hook, si on regarde le sujet se passe au démarrage du systeme puisqu'il est sur le processus de winlogon !

 

donc, juste avant l'ouverture de session, en mode sans echec idem

 

c'est pour ça que je dis qu'il faut faire un logiciel simple qui interdit d'écrire dans certaines clés de la BDR

Winlogon en fait partie, tout comme les clés policy, SAM, winsock, etc.

 

si ce logiciel bloque l'écriture sur les clés, pas besoin d'un logiciel résidant compliqué à comprendre avec des fenêtres qui disent des trucs que monsieur lambda comprend pas

 

 

pour silentrunner, je l'ai testé, il me donne des indications un peu farfelu sur certaines clés

mais il ne fait que donner des indications, pas de blocage

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir tesgaz,

 

Merci pour tes explications !

Quand le programme de delete on reboot intervient-il ? après le Winlogon ?

Quand interviennent les scripts de démarrage ? après aussi ?

 

Je sais que le programme envisagé est un programme de protection -et j'approuve- mais j'essaie de penser aussi nettoyage car tant que "Zeb-RegProtect" ne sera pas mondialement répandu, il y aura des infections ! :P

 

... pour silentrunner, je l'ai testé, il me donne des indications un peu farfelu sur certaines clés mais il ne fait que donner des indications, pas de blocage

495668[/snapback]

oui, je sais mais l'intérêt que j'y vois est qu'on peut s'inspirer des clés qu'il surveille !
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
oui,

 

dans ce cas, il faut aussi s'inspirer d' Autoruns de sysinternal

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

495683[/snapback]

Oui, c'est sûr, toutes les clés peu connues et en particulier, ls programmes de protection de ces excellentes sociétés que sont DiamondCS et Sysinternals !

 

Les pirates utilisent tout ce qui est possible !... y compris le spoofing de papier peint et de fond d'écran !... encore de beaux jours !

 

Il n'y a pas, à ma connaissance, de projet de développement de programme tel qu'envisagé par Zebulon !

HijackThis est programmé en Visual Basic (à l'époque, Merijn était étudiant en chimie)... Merijn avait annoncé qu'il allait travailler à la refonte de son prgramme en C++ qui démarrerait une série v2 ! Je ne sais pas où il en est !

 

Je vais aller participer aux discussions de SpywareInfo dans les jours prochains pour savoir ce qu'ils font avec ces nouvelles sortes d'attaques !

 

Merijn n'est plus sur SWI, je ne sais pas où il est (je sais qu'après son diplome en chimie l'an dernier, il a commencé des études d'informatique)

 

Je connais quelqu'un (PC Astuces) qui dit être en relation avec Merijn... à sa demande, j'ai même uploadé des fichiers système Français sur mon site pour que Merijn les télécharge ! :P

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

 

Désolé d'arriver si tard,pour féliciter Fuse,et remercier tous ceux qui ont aidé.

 

Le probleme comme celui de Fuse,est certainement celui qu'on voit le plus ces derniers temps.

Sa résolution n'est pas facile,et il est donc important d'exploiter toutes les voies qui permettent sa résolution.

Dans la solution que j'ai proposé,je parlais de procexp .

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Il est à utiliser en mode sans echec

Un double clique sur winlogon.exe,ouvre une fenetre qui affiche les proprietes de winlogon.exe,et l'onglet "thread" permet de retrouver toutes les dll aléatoires,le bouton "kill" permet de les "stopper" toutes.

 

La solution que j'ai donné est largement inspirée de celle donné par un forum trés connu,celle qui a fonctionné cheez Fuse(utilisation de la console de récupération) aussi.

 

I have also had success removing the MSevents BHO pest by using the Recovery Console (RC). I needed to install and found instructions in another forum - go to http://techrepublic.com.com/5100-10590_11-5657217.html

http://forums.techguy.org/showthread.php?t...59&page=3&pp=15

 

Please download Process Explorer by Sysinternals from here:

 

http://www.sysinternals.com/files/procexpnt.zip

 

Also download KillBox by Option^Explicit from here:

 

http://www.downloads.subratam.org/KillBox.zip

 

Reboot into safe mode.

 

Unzip Process Explorer and double click on procexp.exe

 

In the top section of the Process Exlporer screen double click on winlogon.exe to bring up the winlogon.exe properties screen. Click on the Threads tab at the top.

 

Once you see this screen click on each instance of Random.dll once and then click the kill button.

 

After you have killed all of the Random.dll's under winlogon click ok.

 

Next double click on explorer.exe and again click once on each instance of Random.dll then click the kill button. Once you have done that click ok again.

 

Restart HijackThis and put checks next to the following, close all browser windows (including this one) then click on 'Fix Checked':

 

Whatever

 

Copy the bold text below to notepad.

Save it as fix.reg to your desktop.

Ensure the "Save as" type is set to "all files"

 

Once you have saved it double click it and allow it to merge with the registry.

 

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEve nts.1]

 

Now open Killbox.

 

Choose Tools > Delete Temp Files and click OK.

Copy & paste the following line in bold into the "Full Path of File To Delete" box:

 

C:\WINDOWS\Web\Random.dll

 

Select the "Delete on Reboot" When it asks if you would like to Reboot now, press the NO button.

 

Run Killbox program again. In the field labeled "Full Path of File to Delete "enter:

 

C:\WINDOWS\system32\req.dat

 

Select the "Delete on Reboot" When it asks if you would like to Reboot now, press the YES button.

 

Allow the machine to reboot then post a new HijackThis log.

http://forums.techguy.org/showthread.php?t...59&page=4&pp=15

Modifié par queruak
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut queruak, salut à tous,

 

excellent ce logiciel processxp, merci queruak :P

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Bonjour à tous,

 

Salut queruak, salut à tous,

 

excellent ce logiciel processxp, merci queruak :-(

495898[/snapback]

 

De rien tesgaz :-P

 

Redarde le sous tous les "cotés", tu verras il est ...excellent :P

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

:-(

 

 

j'ai déjà regardé dans tout les coins :P

 

c'est pour çà que j'ai dit qu'il est excellent :-P

Fuse Member

Fuse

Posté(e)
  • Auteur
Posté(e)

Je note tout ça dans un coin tout en essayant d'en apprendre le maximum, car j'imagine que je ne suis pas à mon dernier virus (vu l'inventivité de certains).

 

Encore une fois merci à tout ceux qui ont bien voulu me donner un coup de main.

 

 

A charge de revanche ...

 

 

Fuse

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...