Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Hacktool.rootkit, moi aussi

Cyril7000

Par Cyril7000
dans Analyses et éradication malwares

 Partager

Messages recommandés

Cyril7000 Member

Cyril7000

Posté(e)
  • Auteur
Posté(e)

Bonsoir à tous,

 

Je viens de refaire la même manip mais en étant en mode sans échec. Le résultat reste le même.

 

J'ai refait un rapport Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:25:08, on 17/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\SYMANT~1\DefWatch.exe

C:\WINDOWS\system32\cba\pds.exe

C:\PROGRA~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\cba\xfr.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\green.exe

C:\PROGRA~1\SYMANT~1\vptray.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe green.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096402596986

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe

O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe

 

Apparement la ligne "F2 - REG:system.ini: Shell=Explorer.exe green.exe" revient à chaque fois.

 

Si quelqu'un à une autre astuce, je suis preneur.

 

Merci d'avance.

Cyril7000 Member

Cyril7000

Posté(e)
  • Auteur
Posté(e)

Ne parlant pas anglais, j'ai essayé de comprendre ce qu'il fallait faire suite au lien. J'ai donc téléchargé une version beta et je l'ai exécuté. Rien n'est détecté. Et apparement, ce programme ne fonctionne pas en mode sans échec. Je ne suis donc pas plus avancé (à moins que je n'ai pas fait ce qu'il fallait).

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

tu as demarrer en mode sans echec pour supprimer :

C:\WINDOWS\system32\green.exe ?

 

et fixer la ligne :

F2 - REG:system.ini: Shell=Explorer.exe green.exe

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonsoir Cyril. J'ai vu un cas similaire sur CCM et le killbox était utilisé en mode sans échec mais, restauration système désactivée aussi, j'aimerai bien avoir l'avis d'IPL ou Tesgaz sur ce point.

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

de toute facon mon point de vue sur les rapports hijackthis sont clairs depuis longtemps

 

j'ai toujours dit de démarrer en mode sans echec pour fixer les lignes, ca fait plus d'un an que je le dis, mais on continue toujours a faire fixer les lignes d'abord et ensuite on demande a passer en mode sans echec,

c'est une perte de temps inutile qui oblige à poster le même rapport approximativement plusieurs fois de suite puisque les malwares continuent de tourner pendant le fixe en mode normal

j'ai toujours dit aussi de faire un log hijackthis sur chaque session du pc, est-ce que c'est fait ? ---> jamais

 

donc, voici les principales raisons que j'ai de ne plus trop répondre, parce qu'a par mettre plein de softs en place pour eradiquer des trucs qui s'éradiquent directement en mode sans echec sans programme particulier, j'ai l'impression de souffler dans un violon pour le faire gonfler

 

enfin, c'est juste un point de vue personnel de nettoyage régulier de pcs infectés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Réflexions frappées du coin du bon sens, comme d'habitude. Je pense qu'il faudrait effectivement expérimenter ce que tu préconises, ne serait-ce que pour pouvoir comparer les résultats. Maintenant, la balle est dans le camp des "nettoyeurs" :P .

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir à tous,

 

Megataupe, la procédure copiée cette nuit ne correspond pas à mes mots habituels... je me suis effectivement inspiré d'un post de moe31 sur CCM !

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonsoir IPL :-( . Je vois que nous avons les mêmes lectures, notamment pour les cas difficiles. Ceci dit, je ne vais pas réouvrir le débat sur la restauration système :P .

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

tesgaz,

 

j'ai toujours dit de démarrer en mode sans echec pour fixer les lignes, ca fait plus d'un an que je le dis, mais on continue toujours a faire fixer les lignes d'abord et ensuite on demande a passer en mode sans echec,...
Tu auras sans doute remarqué que mon post
ipl_001  hier à 21h14 Message #3|

 

Rebonsoir Cyril7000, rebonsoir à tous,

 

Note, imprime ou copie dans un fichier, le contenu de ce post parce qu'on va être déconnecté !

 

Démarre en mode sans échec.

 

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

demandait le HijackThis en mode sans échec... comme je le fais souvent !

:P

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

c'est pas pour toi que je le dis,

c'est un constat récurrent sur les réponses du forum

 

hijackthis devrait d'ailleurs ne se faire qu'en mode sans echec, ca changerai pas mal la donne

et ce serait beaucoup plus simple pur tout le monde

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...