HackTool.RootKit et rapport HijackThis

[Thanos]

ooohhh la zolie fenêtre quand on répond

 

salut freelance

 

Quelques remarques:

 

- dans ton 1er rapport(pc 1)

 

* On voit Norton mais aussi McAfee Internet Security: ce dernier fais il aussi antivirus? Si oui

 

ne garde que McAfee Internet Security puis qu'il fait aussi firewall!!

 

*As tu fixé la ligne suivante en mode sans échec?=> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.100.25:8080

 

*Le rapport de l'active scan est il complet (Adware:adware/ncase=> 180Solutions) , je suis étonné que

 

Spybot ne lui ait pas réglé son compte!!

 

Voilà les cles qui sont ajoutées dans la base de registre:

 

- Supprimez Ncase :

Redémarrez en mode sans échec

Dans le Registre, ouvrez : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dans le volet de droite, supprimez une entrée nommée MSBB

Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Dans le volet de droite, supprimez ces deux entrées : nCase et msbb

Ouvrez HKEY_CURRENT_USER\Software

Dans le volet de droite, supprimez une clé nommée 180solutions

Dans l'Explorateur Windows, lancez une recherche sur ces deux termes : NCASE et MSBB.EXE

Supprimez toutes les occurrences trouvées.

Parcourez ensuite : c:\Program Files\Downloaded Program Files

Supprimez ce contrôle ActiveX : nCaseInstaller Class

Videz votre Corbeille...et passe un coup d'easy cleaner (inutile et registre)

 

Si tu as un doute ou ne sais pas comment faire n'hésites pas à demander!

 

-dans ton second rapport

ET voici le rapport du second après une desinfection

Pour le second pc aucune désinfection n'a été faite! si tu parles du scan en ligne,il ne désinfecte rien;

 

il t'indique juste ou trouver les cochoneries ..poste le rapport!

 

- un reste de norton sur ton second pc , va voir ici pour le désinstaller proprement:

 

http://speedweb1.free.fr/frames2.php?page=divers3

Modifié le 22 octobre 2005 par charles ingals

[freelance]

Merci !

 

Conernant le premier PC :

 

* J'utilise en fait McAfee en tant que Firewall (j'ai désinstallé la partie Antivirus pour des raisons de fonctionnement instable) et Norton comme antivirus. Les deux systèmes ne rentrent pas en conflit.

 

* R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.100.25:8080 : Cela réfère en fait au proxy utilisé pour me connecter à mon école donc rien de méchant de ce côté là (désolé d'avoir oublié de le préciser plus tôt

 

* Concernant nCase j'ai fait tout ce que tu m'as indiqué et j'étais aussi étonné qu'il en trouve encore des traces car Spybot devait lui avoir reglé son compte. Je relancerai une vérif. avec Panda activscan pour être certain de bien l'avoir éliminé du registre.

 

Pour le second PC :

 

* J'ai pourtant suivi les mêmes instructions que pour le premier avant de poster ce second log

Je vais donc recommencer la procédure et relancer ensuite un ActivScan pour m'assurer du résultat.

 

Je communique les résultats dès que possible.

 

 

 

Merci encore mille fois

[Thanos]

Salut freelance

Pour le second PC :

 

* J'ai pourtant suivi les mêmes instructions que pour le premier avant de poster ce second log icon_eek.gif

Je comprends pas??Le log du second pc ne montrait rien d'infectieux ,c'est pour ca que je te

 

demandais un scan en ligne,la procédure que je t'ai envoyé (avec téléchargement de"FixIstBar")

 

n'était valable que pour le premier pc, on est d'accord??

Modifié le 22 octobre 2005 par charles ingals

[freelance]

Oui oui pour le fix on est d'accord mais j'ai quand même lancer spybot en mode sans échec sur le second histoire de voir et il a trouvé des petits trucs.

 

Par contre je viens de renettoyer tout le premier et le Panda activescan détecte toujours le "nCase" et franchement je vois pas où, j'ai passé la base de registre eu peigne fin en suivant toutes les clés que tu m'as indiqué ainsi que celles indiquées par l'onglet desinfection d'activescan et la plupart des clés n'éxistaient même pas

 

Un peu interloqué moi

 

 

[Au fait voici le scan Panda du second PC]

 

 

Est ce qu'il y a des choses qui clochent ? Merci d'avance

 

Incident Status Location

 

Dialer:dialer.b Reported C:\WINDOWS\tmlpcert2005

Spyware:Cookie/Xiti Reported C:\Documents and Settings\Philippe\Cookies\philippe@xiti[1].txt

Spyware:Cookie/Xiti Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Doubleclick Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Tradedoubler Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/Bluestreak Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.bluestreak.com/]

Virus:Eicar.Mod Reported C:\Program Files\Fichiers communs\Wise Installation Wizard\WISFA1B3B7A98D04F54B5557711A6E54544_4_2.MSI[unk_0021][Help.chm][HowCanITestDetection.html]

Spyware:Cookie/Bluestreak Reported C:\Program Files\PestPatrol\Quarantine\2

Virus:Eicar.Mod Reported C:\Program Files\PestPatrol\Help.chm[HowCanITestDetection.html]

Spyware:Cookie/Xiti Reported C:\Documents and Settings\Philippe\Cookies\philippe@xiti[1].txt

Spyware:Cookie/Xiti Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Doubleclick Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.doubleclick.net/]

Spyware:Cookie/Tradedoubler Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.tradedoubler.com/]

Spyware:Cookie/Bluestreak Reported C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\o2veort9.default\cookies.txt[.bluestreak.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005274.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005275.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005277.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005279.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005280.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005281.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005282.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005284.MOZ[.xiti.com/]

Spyware:Cookie/Xiti Reported C:\Recycled\NPROTECT\00005305.MOZ[.xiti.com/]

Modifié le 22 octobre 2005 par freelance

[Thanos]

salut freelance,rien de méchant sur le rapport Panda! On va nettoyer (tu peux faire ca pour les deux pc)

 

-Télécharge Clean Up 40 et installe le dans un répertoire à lui:

http://www.stevengould.org/software/cleanup/

 

 

Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

On peut faire une petite recherche pour voir si "nCase" est encore là:

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle nCase dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Recommence avec 180solutions et poste les rapports.

 

Comment fonctionnent les pc??

[freelance]

Bonjour Charles Ingals,

 

Je viens de faire le petit nettoyage que tu m'as indiqué et lancer les recherches dans la base de registre.

 

Voici les résultats pour nCase :

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 23/10/2005 09:54:19 for strings:

; 'ncase'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_USERS\S-1-5-21-1497286466-4149289120-1296836545-1005\Software\Ahead\Nero - Burning Rom\Browser]

"ShowPureUpperNamesInDownCases"=dword:00000001

 

[HKEY_USERS\S-1-5-21-1497286466-4149289120-1296836545-1005\Software\Microsoft\Search Assistant\ACMru\5603]

"001"="Ncase"

 

; End Of The Log...

 

 

 

ET pour 180solutions

 

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.2.1

 

; Results at 23/10/2005 09:58:01 for strings:

; '180solutions'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\180solutions.com]

 

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\bis.180solutions.com]

 

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\config.180solutions.com]

 

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\downloads.180solutions.com]

 

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\installs.180solutions.com]

 

; End Of The Log...

 

 

 

Concernant le fonctionnement des deux PC tout est ok, ils sont stables.

[Thanos]

salut freelance

 

Tu sais quoi faire à présent

 

[HKEY_USERS\S-1-5-21-1497286466-4149289120-1296836545-1005\Software\Microsoft\Search Assistant\ACMru\5603]

"001"="Ncase"

 

Tu cliques sur la sous clé "5603" et dans le panneau de droite tu élimine la valeur Ncase

 

Pour ce qui concerne la clé History=>

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History

, c'est rien de méchant, tu peux la laisser.(il doit s'agir des sites bannis par

 

Spyware blaster,Adaware ou spybot (Vaccination)).

 

Pour un bon nettoyage de la base de registre utilise jv16:

 

Télécharge :jv16

 

http://telechargement.zebulon.fr/201-jv16-powertools.html

 

- Mets le logiciel en français : Preferences > Language > Français > OK.

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

 

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

 

- Clique sur "Continuer" puis sur "Démarrer".

 

Une fois que c'est terminé, sélectionne toutes les lignes marquées d'un rond vert puis supprime-les.

[freelance]

Bon ben c'est un affaire qui roule.

 

Merci pour tout en tout cas (et moi qui croyais être protégé de ces vilaines bestioles).

 

Pour me remettre de ça je pars une semaine en vancances.

 

@ +