des troyans partout !

[megataupe]

Bonjour à tous. Je vois IPL de passage et il me semble qu'en effet le nettoyage n'est pas terminé :

 

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

 

Name: Tapisys

Filename: tss.exe

Description: Added by the SMALL TROJAN!

File Location: Unknown

Startup Type: Currently being identified.

 

Je dois encore m'absenter mais, si Charles ou Stonangel passent, ils feront le nécessaire .

[ipl_001]

Rebonjour ZoX',

 

Huhu Bonjour ipl , je n'avait pas vu que tu était sur le coup c'est pour ça que j'ai posté 

Non, c'est moi qui poste tout en travaillant et qui met trop de temps !

 

Comme je suis au boulot et que je n'ai pas le temps...

 

Veux-tu bien s'il te plaît, aider Bond à reprendre le nettoyage par HijackThis après avoir fait désactiver temporairement SDHelp et TeaTimer (qui ont bloqué les modifs).

 

Toutes les lignes Rx qui pointent sur about:blank

la R3 - URLSearchHook is missing

toutes les O2 en no file

toutes les O16

 

Merci...

[ZoX']

Ok je m'en occupe de suite

 

Réponse d'ici 30-45 min (et oui je suis plus lent que toi )

[ipl_001]

Ok je m'en occupe de suite

 

Réponse d'ici 30-45 min (et oui je suis plus lent que toi )

552955[/snapback]

Okay merci ZoX' !

 

megataupe a raison : ne pas oublier de virer la

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe avec suppression du fichier sur le disque.

 

A la fin, remettre en place ZDhelp et TeaTimer (c'est dans SpyBot).

[ZoX']

Avant toute chose désactive SDHelp et TeaTimer qui blockent les modifications de ton log hijackthis, ensuite

 

Refait un scan de hijackthis et coche les cases :

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: (no name) - {14270854-4CF0-6A54-913B-18AFF6D56803} - (no file)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: (no name) - {39A9569F-F066-2320-8AF0-DF6A373D414A} - (no file)

O2 - BHO: (no name) - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - (no file)

 

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: (no name) - {C40457D9-D338-5738-22C0-B94004FBA803} - (no file)

O2 - BHO: (no name) - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - (no file)

O2 - BHO: (no name) - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - (no file)

 

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} -

O16 - DPF: {11111111-1111-1111-1111-111300000000} -

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} -

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} -

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

 

 

Voilà je crois que je n'ai rien oublié , en ce qui concerne les lignes 06 si c'est toi qui a mis ces restrictions ne coche pas les cases!!

 

 

Edit :

megataupe a raison : ne pas oublier de virer la

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe avec suppression du fichier sur le disque.

 

Voilà ce que j'ai oublier, Va dans poste de travail\C:\Windows\System32\tss.exe et si tu n'arrive pas à le supprimer car d'autres porcessus utilisent le fichier redémarre en mode sans échec ou alor utilise EasyCleaner

 

Ensuite vas dans BDR (Démarrer, exécuter, regedit.exe) sous les clés

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\S-1223-etc\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USER\S-1234-etc\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

et si tu trouve une trace de ce tss.exe supprime la valeur!

 

Si tu as des ennui avec la base de registre réfère toi à http://www.zebulon.fr/articles/base-de-registre-1.php

 

Tant qu'on y est allons faire un tour du coté de msconfig (Démarrer, exécuter, msconfig, onglet demarrage) et idem que pour le registre si tu voi tss.exe tu décoche la case!!

 

 

Voilà c'est tout pour le moment ^^ En tout cas tiens nous au courant le plus vite possible!

[ipl_001]

Merci ZoX' !

 

Quelques commentaires en fin de journée... je quitte le bureau et serai chez moi vers 19h30-20h !

[ZoX']

De rien ipl, ok j'essayerais d'être là

[ipl_001]

Rebonsoir ZoX',

Merci pour ton aide !

 

 

 

Quelques conseils ; ne prends pas çà pour des critiques mais juste quelques commentaires qui s'adressent à tous ceux qui veulent aider sur Zeb'Sécurité :

 

(mon opinion)

 

- Je me suis permis d'enlever quelques lignes à fixer car même si elles ne sont peut-être pas nécessaires (il y en a effectivement tout un tas en O4), elles ne sont pas infectieuses et l'utilisateur pourrait souhaiter les conserver parce qu'il y trouve une facilité à l'utilisation de Windows.

Par contre, si l'utilisateur le souhaite, il est possible de poursuivre le nettoyage antimalware par une optimisation du système... et tesgaz est notre idole !

 

- Il convient de penser aux internautes débutants, les plus vulnérables qui ont besoin d'explications détaillées et seront perdus s'il manque des étapes (d'auant plus qu'ils sont stressés par l'infection voire énervés, ce qui peut les amener à faire des sottises).

Je suggère de donner tous les détails nécessaires

"Avant toute chose désactive SDHelp et TeaTimer qui blockent les modifications de ton log hijackthis," n'est à mon sens, pas suffisant ! Je sais que c'est ce que je t'ai écrit mais c'était à toi... LOL

 

- Je crois qu'il faut éviter les opérations risquées comme, par exemple, faire manipuler directement la base de registres si tu ne sais pas quel est le niveau de l'utilsiateur.

 

- il faut rester efficace, simple et direct : ne pas faire faire des choses inutiles comme par exemple :

--- traitement des O4 par HijackThis

--- modification des clés RUNxxx de la base de registres

--- modification MSconfig

Tu fais faire là, 3 fois la même chose (ou presque) et en particulier, si tu vas dans MSconfig après les clés RUN, tu ne trouveras rien de plus (l'ordre MSconfig puis RegEdit ne serait pas pareil).

 

- de même (ce n'est pas une chose que je vois dans ton post), on voit parfois sur les forums, plein de membres qui interviennent en donnant 1 ou 2 lignes à cocher en disant "fais çà et on verra après". Ce raisonnement n'est pas valable car les malwares de maintenant ont un mécanisme de réinfection et il faut tacher de tout traiter en 1 post sans redémarrage trop précoce.

 

- ton post doit se terminer par un redémarrage et le post d'un nouveau rapport HijackThis à titre de vérification jusqu'à ce que le système soit propre !

 

 

 

En tous cas, merci beaucoup pour ton aide ! j'apprécie !

[ZoX']

Rebonsoir ipl ,

 

Je comprend très bien ce que tu veux dire mais n'ayant pas l'habitude de poster ici j'ai essayer d'être le plus complet possible et c'est pour celà que j'ai parfois fait faire des commandes inutiles ou parfois éliminer des 04 non nécessaires...Mais pour la BDR j'ai mis un lien pour le tutorial mais je reconnait que ce n'est pas forcément facile tu a raison.

 

Merci pour ces conseils bonne soirée

[ipl_001]

(j'ai édité mon post précédent)