Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Hacktool.rootkit, moi aussi

Cyril7000

Par Cyril7000
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
Bonsoir IPL :-( . Je vois que nous avons les mêmes lectures, notamment pour les cas difficiles. Ceci dit, je ne vais pas réouvrir le débat sur la restauration système :P .

519616[/snapback]

Je ne vais sur CCM que lorsque Google m'y envoie et que je n'ai pas trouvé de liens vers un éditeur AV ni une base de données ni un forum US... alors tu vois que je n'y vais pas souvent ! Que pour moe que je trouve bon (il dit que çà fait un an et demi qu'il a touché son premier ordi) !

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
c'est pas pour toi que je le dis,

c'est un constat récurrent sur les réponses du forum

 

hijackthis devrait d'ailleurs ne se faire qu'en mode sans echec, ca changerai pas mal la donne

et ce serait beaucoup plus simple pur tout le monde

519637[/snapback]

Je vais m'y employer ! Je vais transformer mes posts pour :

-0- obtenir un rapport en mode sans échec

-1- faire télécharger les outils en mode normal (et oublier les scans en ligne)

-2- redémarrer en mode sans échec

-3- utiliser les outils téléchargés

-4- fixer par HJT

-5- supprimer les fichiers

-6- redémarer en mode normal et poster un nouveau log

Cyril7000 Member

Cyril7000

Posté(e)
  • Auteur
Posté(e)
tu as demarrer en mode sans echec pour supprimer :

C:\WINDOWS\system32\green.exe ?

 

et fixer la ligne :

F2 - REG:system.ini: Shell=Explorer.exe green.exe

519550[/snapback]

 

 

Bonsoir Tesgaz,

 

Je suis passé en mode sans échec. J'ai supprimé le fichier green.exe (qui était dans C:\WINDOWS\prefetch\) puis j'ai lancé Hijackthis pour fixer la ligne. J'ai fait un essai en quittant Hijackthis de le rouvrir et de lui faire faire un nouveau scan : la ligne est réapparue. Je la fixe de nouveau, je sors, je scan, et rebelote... ?

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Excellente cette nouvelle approche. Quand pourras-tu nous proposer une procédure préliminaire (avant passage d'Hijackthis donc) nouvelle formule, de façon à modifier celle actuellement préconisée et proposée en première intervention ?

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

parce que le fichier est simplement répliqué dans d'autres dossier

C:\Windows\system32\dllcache\ -> par exemple

ou C:\Windows\

etc

 

fais une recherche sur le DD

 

profites en pour faire recherche dans la base de registre avec le mot green.exe

et donner le resultat

Modifié par tesgaz
Cyril7000 Member

Cyril7000

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai lancé une recherche de green.exe sur C:

La réponse obtenue est "la recherche est terminée. Il n'y a aucun résultat à afficher".

J'ai pourtant activer la case "afficher les dossiers et fichiers cachés"

 

Concernant la base de registre, j'ai un green.exe dans :

HKEY_CURRENT_USER\Software\Microsoft\Search assistant\ACMru\5603 (à noter que dans la partie droite, parmi les différentes lignes, j'ai aussi un issrv.exe sur lequel ipl_001 m'a fait "travaillé" hier soir).

 

En fait, en poursuivant la recherche, il y a l'air d'en avoir plusieurs dans la base de registre.

 

Que faut-il en faire ? (J'ai passé ecleaner hier soir)

Modifié par Cyril7000
Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e) (modifié)

Bonsoir, télécharge ces outils:

 

ABIRemover

http://forum.hijackthis.de/attachment.php?attachmentid=177

 

Ewido

http://www.ewido.net/en/download/

Installe et mets à jour

 

Redémarre en mode sans échec (impérativement en mode sans échec)

 

Installe ABIRemover, patiente... pendant l'installation l'explorateur Windows se fermera.

 

Redémarre en mode sans échec

 

Lance Hijackthis scan et coche la ligne suivante si elle est présente:

 

F2 - REG:system.ini: Shell=Explorer.exe green.exe

 

Ferme toutes les fenêtres tous les programmes puis Fix checked.

 

Supprime les fichiers inutiles dans les répertoires Temp

 

celui de C:\Documents and Settings\ton identité\Local Settings\Temp <--tout le contenu

 

C:\Documents and Settings\autres identités\Local Settings\Temp <--tout le contenu

 

et ceux de

 

C:\Temp

 

C:\Windows\Temp <--tout le contenu

 

Supprime tous les fichiers de Temporary Internet Files

via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

 

Supprime les Cookies.

 

Supprime tout le contenu de Prefetch

 

C:\WINDOWS\Prefetch<--Tout le contenu

 

Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

Vide la corbeille

 

Scanne ton ordinateur avec Ewido. Poste un nouveau rapport Hijackthis en mode sans échec avec celui d'Ewido.

Modifié par Stonangel
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir Stonangel,

 

Tu as l'impression que green.exe est un dur à cuire, semblable à nail.exe...

Invité Stonangel

Invité Stonangel

Posté(e)
Posté(e)

Oui ipl situés exactement sur la même ligne, même écriture juste un changement de nom. A tenter...

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir Cyril7000, Stonangel, tesgaz, megataupe, bonsoir à tous,

 

Nous allons rechercher ce fichier dans la base de registres grâce à Registry Search de mon ami Bobbi Flekman ( http://www.bleepingcomputer.com/files/misc/RegSearch.zip ) :

- télécharge  et dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle green.exe dans la zone de recherche et clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...