log hijack, après problèmes

[jufi]

Salut

non c'est pas ça non plus

et j'ai quand même mon réseau local qui marche...

y faut m'aider, je n'y pige rien. Et puis j'ai fire fox, alors j'essaye avec les deux IE et firfox, mais rien

[Mark]

Salut Jufi, Jack et Charles , bonjour à toutes et à tous ;

 

Jufi, Wareout t'a flanqué un Rootkit Essayons ceci pour ta connexion :

 

Panneau de configuration >> Connexions réseau : fais un clic-droit sur ta connexion par défaut et clique ensuite sur "Propriétés" ; double-clique sur "Protocole Internet (TCP/IP)" et clique le bouton "Obtenir les adresses des serveurs DNS automatiquement" puis clique "Ok" et "Ok". Redémarre le PC et dis nous si ta connexion fonctionne.

 

Je reviens avec instructions pour le rootkit d'ici 15 minutes...

Modifié le 13 janvier 2006 par Qc001

[jufi]

aaaaahhh, de l'aide !!..

Bonjour,

mais ça n'a pas marché : j'ai eu l'apparition dans la barre des tâches d'une icone avec l'ordi et un point d'exclamation. qui "connectivité limitée ou inexistante"

 

et dans firefox j'ai toujours "serveur introuvable"

[Mark]

Hmmm...

 

Tu peux transporter un outil sur ce PC malade ? avec clé USB, disquette ou CD, car tu en auras besoin.

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau et colle le ensuite dans une clé USB ou disquette, etc... Sauvegarde l'outil sur le Bureau du PC infecté.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Modifié le 13 janvier 2006 par Qc001

[jufi]

il dit qu'il ne trouve rien

et moi je n'ai pas besoin de clé, puisque mon réseau entre PC et portable marche...

 

 

 

01/13/06 16:06:41 [info]: BlackLight Engine 1.0.30 initialized

01/13/06 16:06:41 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/13/06 16:06:41 [Note]: 7019 4

01/13/06 16:06:41 [Note]: 7005 0

01/13/06 16:07:21 [Note]: 7006 0

01/13/06 16:07:21 [Note]: 7011 372

01/13/06 16:07:21 [Note]: FSRAW library version 1.7.1014

[Mark]

Merci !

 

Étrange... car même les gens d'Ewido suggèrent Blacklight pour cette détection (avec de bons résultats..). Avant d'utiliser RootkitRevealer, je vais te faire passer un autre scan :

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper

• Clique sur "Essayer" afin de télécharger l'outil. Transporte le fichier d'installation sur ton PC malade (Bureau).
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

[jufi]

je n'ai évidemment pas pu mettre à jour la version (en français) sans connection

j'attends la fin de l'analyse

[jufi]

j'ai fait un scan sptsweeper, il a "nettoyé" un trojan et encore ce truc "spy quelquechose" mais je n'ai pas su trouver le rapport, ensuite j'ai eu de la visite et maintenant il trouve plus de menaces. Mais je ne sais pas quoi te donner comme rapport et le journal de session est trop long, et toujours avec la même ligne :

Avertissement: Windows Messenger Shield: Could not open Messenger Service. Error: Le service spécifié n'existe pas en tant que service installé

 

et Messenger n'est plus installé sur mon système

 

j'ai l'impression que j'ai désinstallé des trucs du registre lié à ma connexion tout à l'heure.

Peut être recommencer le nettoyage du pc, recette zébulon ?

Modifié le 13 janvier 2006 par jufi

[Thanos]

salut QC001

 

J'ai bien l'impression que la disparition de cette ligne 017 pose problème!

 

Je pense que la solution doit se trouver au niveau des propriétés du Protocole Internet (TCP/IP),mais je n'ai pas de réponse exacte!

Il faudrais que tu nous donne les paramètres en question(DNS,etc...)

 

Edit: tu as bien fait de poster QC001, je viens seulement de rallumer le pc apres une belle aprem de mécanique auto

Tiens je viens de retrouver une discussion ou tu as le même problème jufi=>

 

http://forum.zebulon.fr/lofiversion/index.php/t78100.html

 

Habituellement le fix de cette ligne 017 ne pose pas de problème, le fait que tu sois en réseau y est surement pour quelque chose...

Modifié le 13 janvier 2006 par charles ingals

[jufi]

oui, c'était la même histoire. Et je fais trop de bidouilles sans compétences...

Actuellement les champs de l'adresse serveurs DNS sont laissés en blanc, comme on avait fait, mais c'est un autre truc qui ne marche pas