HackTool.RootKit sur mon Pc

[Jack_Burton]

- HijackThis est un programme qui modifie la base de registres (qui ne supprime pas les fichiers ni les services sauf lignes O2 et O3). Il n'est pas utile de lancer Regedit pour aller supprimer les valeurs RUNxx :

- Utiliser RegEdit est stressant par certains internautes et fait courir le risque de mauvaises manips (d'autant que MSconfig ferait l'affaire -à la rigueur-)

- Si HJT a bien travaillé, une visite par RegEdit se soldera par des valeurs non trouvées, ce qui perturbera encore l'internaute.

 

Bonsoir a tous, bonsoir megataupe, charly (encore une fois ),Médicus 33,gabriello73 & ipl_001

 

Je suppose que tu a écris ca en voyant la manip que j ai demandé a gabriello73 de faire en 7eme partie de mon analyse.

 

J ai trouvé la solution au "probleme MS-DOS.pif" sur un autre site, et afin de l enlever il faudra pourtant passer par la base de registre sinon il reviendra sans cesse.

[Thanos]

ouille trois posts en même temps salut Méga

 

Continuons la discussion hors mp ipl

 

Pour Gabriello, si une modification manuelle doit être effectuée (virer une sous clé

 

par exemple) ne jamais oublier de sauvegarder la clé qui va être modifiée.

 

Pour faire clair, ceci tiré de l'article "Le Registre Windows"

 

=> http://www.zebulon.fr/articles/base-de-registre-2.php

Avant de modifier votre registre, il est préférable de faire une sauvegarde des clés ou valeurs que vous souhaitez modifier. C'est là qu'intervient la fonction Exporter de regedit.

La fonction Exporter vous permet de créer un fichier avec une extension .reg. Ce fichier ainsi créé représente l'ensemble des informations de la clé ou de la sous-clé avec toutes les valeurs et les données que vous sélectionnez. Il est important de lui donner un nom "parlant" qui vous permettra par la suite de le retrouver si le besoin s'en fait sentir.

 

Pour exporter : dans la partie gauche du registre, faites un clic droit sur la clé en question puis choisissez Exporter. Une fenêtre va s'ouvrir, choisissez le dossier dans lequel vous allez garder ce fichier puis enregistrez-le.

 

Concernant les mises à jour, précisons tout de même que avec toutes les mises

 

à jour disponibles , le système est encore susceptible d'être vérolé Alors ca n'est

 

pas suffisant! Ca nous renvoie aux consignes que l'on peut lire sur le forum sur les

 

règles de sécurité élémentaires:Pas de crack , P2P etc...

[megataupe]

Faut-il donc demander aux internautes non avertis la maj complète de leur système (maj critiques) ?

 

Absolument IPL mais, se pose désormais le problème des versions pirates et il n'est pas certain que tous pourront le faire indéfiniment, Microsoft semblant avoir durci sa politique de "je ferme les yeux". Maintenant, il faut aussi rappeler que la pièce maîtresse d'un PC sécurisé est désormais le firewall car, si tous les ports critiques ou à failles potentielles, inconnues, à venir, etc.., sont fermés (masqués c'est encore mieux) il y a peu de chance de se faire piéger par les exploiteurs de failles vu qu'il faut bien que le trojan indésirable puisse chercher à sortir. Si de plus tu contrôles le port 80 avec un proxy local comme le fait Spyblocker, les vermines pourront peut être entrer mais, ne pourront jamais sortir puisqu'elles vont se mordre la queue à chercher la sortie .

[ipl_001]

megataupe,

 

Ton post est excellent !

Certes, on ne doit pas encourager ni favoriser l'utilisation de systèmes piratés mais il n'est sans doute pas inutile de prévoir une procédure qui palie la chose en renforçant la fermeture bien serrée (ou plutôt le masquage) des ports et ainsi, compenser -en plus léger- les mises à jour mal/non faites !

[Jack_Burton]

Je suis tout a fait d accord avec toi megataupe

[gabriello73]

Bonjour à tous et merci pour vos réponses/conseils

 

je vais suivre les différentes étapes de jack burton.. je vous tiens au courant des résultats obtenus

 

A toute à l'heure,

 

gabriello73

[Jack_Burton]

Bonjour Gabriello

 

Hier dans la procédure que je t ai demandé de suivre, j ai oublié un petit truc.

Rien de grave, juste de supprimer un fichier.

 

Lorsque tu auras fini suis cette petite procédure :

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Suppression du fichier incriminé (s il existe encore) :

-C:\WINDOWS\settings.exe

c est cela que j ai oublié de te dire hier

 

5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

 

Edit : encore désolé pour ce petit oubli.

Modifié le 13 septembre 2005 par Jack_Burton

[gabriello73]

RE-bonjour,

 

J'ai donc terminé les procedures proposées par Jack burton...et voici donc le nouveau rapport.

 

Qu'en penses tu jack ?

 

Gabrielo

 

ps: j'ai pas encore mis les correctifs microsoft.

[Jack_Burton]

Il est ou le nouveau rapport??? Je ne le vois pas!

Modifié le 13 septembre 2005 par Jack_Burton

[gabriello73]

il est là

 

Logfile of HijackThis v1.99.1

Scan saved at 12:42:49, on 13/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Documents and Settings\Alex\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{404950E8-DB56-422C-AD5D-80FB548718AA}: NameServer = 192.168.0.51

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe