Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

VIRUS Hacktool Rootkit

ratzoun

Par ratzoun
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)
ça va etre dur de le virer celui là , un rootkit a des processus caché ,  se mets des les fichiers systemes, une vrai galere .Norton ne la pas detecté avant qu il ne s installe ,  c est desolant  :P

 

Salut,

 

ce n'est pas un vrai rootkit, c'est juste un virus qui prend le nom, ce qui n'est pas la même chose

 

des rootkits, encore jamais vu sur une machine infectée !

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
encore jamais vu sur une machine infectée

 

Salut Tesgaz :-( . Moi non plus, même si on annonce leur arrivée depuis des années. Ca ne doit pas être si évident que ça à compiler les futurs fantômes des PC :P .

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)
non , non c est bien un rootkit et plus precisemment AFX rootkit d Aphex  :P

voir ci dessous les differentes appelation de la bestiole :

 

http://vil.mcafeesecurity.com/vil/content/...35.htm#Variants

518354[/snapback]

 

tu sais lire ?

 

c'est marqué : type : trojan

%WinDir%\SYSTEM32\CONF.COM < n'existe pas dans windows

un rootkit modifies un fichier original pour prendre des droits administrateur, ce qui n'est pas le cas ici

 

des fois on se demande ma mère et moi !

Modifié par tesgaz
r0m Junior Member

r0m

Posté(e)
Posté(e)

j te retourne la critique " Typically, the malware will install 3 files to the victim machine (the filenames will obviously vary). The target directory may also vary, but will typically by %WinDir% or %WinDir%\System32" , bref renseigne toi d avantage sur les rootkits , c est plus le monopole de linux ....

 

Name

Hacktool.Rootkit (Symantec)

TROJ_MADTOL.A (Trend)

Trojan.Win32.Madtol.a (Kaspersky)

Win32.Afrootix (CA Vet)

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Re, installe Hijackthis correctement:

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

Télécharge ces utilitaires:

EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

 

About:Buster

http://downloads.subratam.org/AboutBuster.zip

Dézippe le sur le bureau

 

SpSeHjfix:

http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

Tu le lances: clique sur "start disinfection", en cas d'infection le pc sera redémarré.

 

Désinstalle via Ajout/Suppression de programmes ces applications si elles sont présentes:

 

KAZAA, Dyfuca, Media Access, P2P Networking

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll

O4 - HKLM\..\Run: [MediaLoads Installer] C:\Program Files\MSN\MSNCoreFiles\dw.exe /H

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [wmv] C:\WINDOWS\System32\winmonv.exe

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe

O4 - HKLM\..\Run: [iisver] C:\WINDOWS\System32\iisver.exe

O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\shch.exe /i

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [xalqlil] C:\WINDOWS\xalqlil.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q

O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: v3cab - http://searchmiracle.com/cab/6.cab

O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/games/clients/y/ht1_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.leslesbiennes.com/kits/134/dsl/leslesbiennes.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab

O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.ceget...FAutoConfig.ocx

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118773682029

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab

O16 - DPF: {7CAA184C-91E7-4E84-8681-32F2A0D68DF1} (Apollon Class) - http://htmldialer.parisvoyeur.com/CABSPOLY...8/fr/Daphne.cab

O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} (Jacques Class) - http://htmldialer.parisvoyeur.com/CABSPOLY.../Bernadette.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {90D610E8-F6D0-4AD4-93CE-178A46F8C412} (Hamlet Class) - http://htmldialer.parisvoyeur.com/CABSPOLY.../fr/Ophelie.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {C32EE4CB-E99F-4147-BFAE-67FF3B6F8076} (Romeo Class) - http://htmldialer.parisvoyeur.com/CABSPOLY...fr/Juliette.cab

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab

O18 - Protocol: ayb - (no CLSID) - (no file)

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Démarre en mode sans échec (F8 ou F5)

 

Lance deux fois About: Buster

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

setup32.exe

c:\program files\180searchassistant

C:\Program Files\MSN\MSNCoreFiles

C:\WINDOWS\System32\winmonv.exe

C:\WINDOWS\hpfsched.exe

C:\WINDOWS\System32\iisver.exe

C:\WINDOWS\shch.exe /i

C:\WINDOWS\System32\P2P Networking

C:\Program Files\Kazaa

C:\Program Files\Media Access

C:\WINDOWS\System32\ap9h4qmo.exe

c:\program files\180searchassistant

C:\Program Files\Internet Optimizer

C:\WINDOWS\xalqlil.exe

wuamkop.exe

KYSVCXD.EXE

C:\Program Files\ClockSync

MSASP32.exe

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Registre et Inutiles seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Fais un scan ici et colle le rapport dans ton prochain message:

http://www.pandasoftware.com/activescan/

 

Pas de problème Tesgaz j'en ai loupé un sur les 023 :P

Modifié par Stonangel
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

tu démares en mode sans echec et tu fixes toutes ces lignes dans hijakthis

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll

 

 

O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe

O4 - HKLM\..\Run: [MediaLoads Installer] C:\Program Files\MSN\MSNCoreFiles\dw.exe /H

 

O4 - HKLM\..\Run: [wmv] C:\WINDOWS\System32\winmonv.exe

 

O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe

 

O4 - HKLM\..\Run: [iisver] C:\WINDOWS\System32\iisver.exe

O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\shch.exe /i

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

 

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [Windows Mp3 Player] winamp.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

 

O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe

O4 - HKLM\..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [xalqlil] C:\WINDOWS\xalqlil.exe

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop.exe

O4 - HKLM\..\RunServices: [Windows Mp3 Player] winamp.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q

 

O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

 

 

O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\jca2000\stoppub\stoppub.exe (file missing)

O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\jca2000\stoppub\stoppub.exe (file missing)

 

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: v3cab - http://searchmiracle.com/cab/6.cab

 

 

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.leslesbiennes.com/kits/134/dsl/leslesbiennes.exe

 

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

 

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab

 

O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab

O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.ceget...FAutoConfig.ocx

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

 

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab

O16 - DPF: {7CAA184C-91E7-4E84-8681-32F2A0D68DF1} (Apollon Class) - http://htmldialer.parisvoyeur.com/CABSPOLY...8/fr/Daphne.cab

O16 - DPF: {869518C3-FBA5-4D75-8A14-7047437E9498} (Jacques Class) - http://htmldialer.parisvoyeur.com/CABSPOLY.../Bernadette.cab

 

O16 - DPF: {90D610E8-F6D0-4AD4-93CE-178A46F8C412} (Hamlet Class) - http://htmldialer.parisvoyeur.com/CABSPOLY.../fr/Ophelie.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab

 

 

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {C32EE4CB-E99F-4147-BFAE-67FF3B6F8076} (Romeo Class) - http://htmldialer.parisvoyeur.com/CABSPOLY...fr/Juliette.cab

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab

 

O18 - Protocol: ayb - (no CLSID) - (no file)

 

 

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

 

 

ensuite, tu supprimes :

c:\program files\180searchassistant\ ---> le dossier complet

C:\WINDOWS\Twain_32\FlatBed\HotKey.exe -----> le fichier

C:\Program Files\MSN\MSNCoreFiles\ ----> le dossier

C:\WINDOWS\System32\winmonv.exe -----> le fichier

C:\WINDOWS\hpfsched.exe -----> le fichier

C:\WINDOWS\System32\iisver.exe -----> le fichier

C:\WINDOWS\shch.exe -----> le fichier

C:\WINDOWS\xalqlil.exe -----> le fichier

C:\Program Files\Media Access\ ----> le dossier

C:\WINDOWS\System32\ap9h4qmo.exe -----> le fichier

 

pour ceux la tu fais une recherche dans C:\Windows ou C:\Windows\system32 et tu les supprimes

MSASP32.exe

wuamkop.exe

winamp.exe

KYSVCXD.EXE

 

 

ensuite tu fixes cette lignes :

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

car le RPC est un processus svhost.exe (et non pas rpcclient.exe)

 

tu recherches ce programme dans dans C:\Windows\system32\

et tu le supprimes

il est possible qu'hijackthis n'arrive pas a supprimer cette ligne, il faut dans ce cas regarder si le service n'est pas présent dans les services:

executer : services.msc

et désactiver la ligne : Remote Procedure Call

(puisque l'originale se nomme : Appel de procédure distante)

 

voila, ensuite tu refais un rapport

 

 

() oups désolé, stonangel, je n'ai pas vus que tu répondais en même temps que moi :P

Modifié par tesgaz

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...