Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Aidez moi à aliminer des trojans trés virulents

PANTURLE

Par PANTURLE
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir PANTURLE, Stonangel, bonsoir à tous,

 

Vu les dysfonctionnements qui subsistent... Stonangel a bien raison qui attire mon attention sur les lignes O17 !!!

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

inetnum:      195.225.176.0 - 195.225.179.255

netname:      NETCATHOST

descr:        NetcatHosting

country:      UA

admin-c:      VS1142-RIPE

tech-c:      VS1142-RIPE

status:      ASSIGNED PI

mnt-by:      RIPE-NCC-HM-PI-MNT

mnt-lower:    RIPE-NCC-HM-PI-MNT

mnt-by:      NETCATHOST-MNT

mnt-routes:  NETCATHOST-MNT

source:      RIPE # Filtered

remarks:      ****************************************

remarks:      * Abuse contacts: abuse@netcathost.com *

remarks:      ****************************************

 

person:      Vsevolod Stetsinsky

address:      01110, Ukraine, Kiev, 20�, Solomenskaya street. room 206.

phone:        +38 050 6226676

e-mail:      vs@netcathost.com

nic-hdl:      VS1142-RIPE

source:      RIPE # Filtered

 

Ces IP correspondent au malware Trojan.Flush.B !

When Trojan.Flush.B runs, it does the following:

 

  1. Queries the "Ipconfig" for the value, for each adapter found at the following location:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

 

      Note: The aforementioned value typically holds a pointer to a corresponding entry at:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

 

  2. Attempts to add the following value at that location:

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

      to the registry subkey:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

 

  3. Checks for the presence of the following file:

 

      %CSIDL_COMMON_APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

 

      Note: %CSIDL_COMMON_APPDATA% is a variable that refers to the folder containing application data for all users. By default this is C:\Documents and Settings\All Users\Application Data (Windows NT/2000/XP).

 

  4. Adds the following entries to the aforementioned file, if that file is found:

 

          * "IpDnsAddress=69.50.184.84"

          * "IpDns2Address=192.225.176.37"

          * "IpNameAssign=2"

 

  5. Adds the value:

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

      to the registry subkey:

 

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\

 

  6. Enumerates the entries found at the following location:

 

      HKEY_CURRENT_USER\RemoteAccess\Profile

 

      and attempts to add the following hex value to each found:

 

      "IP" = "02,00,00,00,00,00,00,00,54,b8,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"

 

  7. Executes the following commands on the computer, before exiting :

 

          * ipconfig /dnsflush

          * ipconfig /registerdns

          * ipconfig /renew

          * ipconfig /renew_all

(source : http://www.symantec.com/avcenter/venc/data...an.flush.b.html )
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

(post séparé pour bien séparer de mon long layus)

 

Qu'en pensez-vous ?

Est-ce là une première ? ou plutôt la deuxième fois que les IP sont effectivement altérées (discussion dans laquelle tesgaz et megataupe avaient décortiqué les O17 -hier ou ce dernier week-end-)

 

---édition : voir le message http://forum.zebulon.fr/index.php?showtopic=68594 !

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Bonsoir à tous. Quelle méthode d'éradication ipl? Fixer par Hijackthis ou exécuter la procédure de Symantec?

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
Bonsoir à tous. Quelle méthode d'éradication ipl? Fixer par Hijackthis ou exécuter la procédure de Symantec?

517830[/snapback]

A mon avis, procédure de Symantec parce qu'il y a de nombreuses clés/valeurs concernées !

 

Il est aussi possible de créer un fichier .reg pour faciliter le nettoyage !

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)
Il est aussi possible de créer un fichier .reg pour faciliter le nettoyage !

 

Merci ipl, j'attends avec impatience :P

PANTURLE Member

PANTURLE

Posté(e)
  • Auteur
Posté(e)

a proiri..et si jai bien compris ..je ne suis pas totalement sorti d'affaire...

 

et en effet, je me suis absenté un 1/2 heure et j'ai fait un scan avec kapersky..et il m'a encore retrouvé 3 fichier infecte par des blackdor...

 

alors a t'il pu enrayer ces fameuses lignes (017)....

 

ci-dessous le dernier rapport hitjackis...

je vais me coucher ..et merci encore..

a demain................................

 

panturle..

 

Logfile of HijackThis v1.99.1

Scan saved at 23:57:15, on 14/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Zilla Popup Killer] C:\Program Files\Zilla Popup Killer\ZillaPop.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{D289D4BA-4FC4-4C5A-9A5A-4FBF41351796}: NameServer = 69.50.184.84,195.225.176.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

 

********

 

et encore merci de votre aide.....bonne nuit a vous tous..amis zébuloniens..

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir PANTURLE, rebonsoir à tous,

 

a proiri..et si jai bien compris ..je ne suis pas totalement sorti d'affaire...

LOL

C'est de ta faute ! :P

 

A ma question : Qu'en est-il des dysfonctionnements ?

 

Tu réponds :

PANTURLE Écrit le hier à 22h36 je ne sais pas trop....

PANTURLE Écrit le hier à 22h38 aUTRE CHOSE AUSSI...

 

Ce qui signifie que tout n'est pas propre !

 

Nous allons revenir avec quelques outils pour t'aider !

PANTURLE Member

PANTURLE

Posté(e)
  • Auteur
Posté(e)

bonjour ipl 001.

 

a priori ce n'est pas ça car dans les sous clé il n'y pas de name server 69.50.184.84.195.225.176.57

 

dans la sous clé hkey_curent-user il n'a pas de remoteaccess\profil et donc..pas de valeur a supprimer..

 

et, le rasphone pbk que j'ai trouvé dans fichiers cachés est vide..

 

donc a revoir....

 

merci..j vous laisse je vais bosser..

 

a+

 

panturle...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...