Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Instant access insupprimable!

tupello

Par tupello
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Ne t'attarde pas à la bdr ; fais le scan avec HijackThis + Extra (tel que suggéré au post #19), et puis après on pourra te suggérer un fix adapté. Nous te passerons un outil qui fera le ménage complet de cette peste dans la bdr également.

 

Merci :P

Modifié par Qc001

tupello Member

tupello

Posté(e)
  • Auteur
Posté(e)

Ne t'attarde pas à la bdr ; fais le scan avec HijackThis + Extra (tel que suggéré au post #19), et puis après on pourra te suggérer un fix adapté. Nous te passerons un outil qui fera le ménage complet de cette peste dans la bdr également.

 

Merci :P

 

Désolée pour le retard mais j'avais loupé une de vos réponses!

 

Voici le rapport both.log de Hijack :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:30:08, on 19.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\a-squared\a2guard.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\cmd.exe

C:\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\ping.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tele2.ch/fre/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

doesn't exist HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

doesn't exist HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

doesn't exist HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe

-----------------------

-----------------------

REGEDIT4

 

Merci

Tupello

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Ok, tu es infecté par une variante moins aggressive de Egdaccess (cousine de Instant Access), bien heureusement !! Merci pour le rapport :P

 

Là on va te faire du ménage. Désactive les protections résidentes de MS-Antispyware et a-squared, puis suis les instructions que voici :

 

Télécharge Brute Force Uninstaller (de Merijn).

Décompresse-le dans un dossier propre à lui (c:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS Remover (de Metallica). Sauvegarde dans le dossier créé (c:\BFU)

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe

 

Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu

Clique sur execute et laisse-le faire son travail.

 

Attendre que complete script execution apparaîsse et clique sur OK.

Clique exit pour fermer le programme BFU.

 

Le BFU ne génère aucun rapport. Redémarre ton PC, et dis nous si tu as toujours des dysfonctionnements !

tupello Member

tupello

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok, tu es infecté par une variante moins aggressive de Egdaccess (cousine de Instant Access), bien heureusement !! Merci pour le rapport :P

 

Là on va te faire du ménage. Désactive les protections résidentes de MS-Antispyware et a-squared, puis suis les instructions que voici :

 

Télécharge Brute Force Uninstaller (de Merijn).

Décompresse-le dans un dossier propre à lui (c:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS Remover (de Metallica). Sauvegarde dans le dossier créé (c:\BFU)

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe

 

Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu

Clique sur execute et laisse-le faire son travail.

 

Attendre que complete script execution apparaîsse et clique sur OK.

Clique exit pour fermer le programme BFU.

 

Le BFU ne génère aucun rapport. Redémarre ton PC, et dis nous si tu as toujours des dysfonctionnements !

Modifié par tupello
tupello Member

tupello

Posté(e)
  • Auteur
Posté(e)

Désolée mais en cliquant droit et faire enregistrer la cible sous... j'ai un message d'erreur de IE :Le site est introuble. Vérifier que l'adresse est correcte puis réessayer.

 

Merci de votre patience.

 

Tupello

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Oui pardon... c'est bien "Enregistrer la cible sous..."

 

Je viens d'essayer avec IE et FireFox ; ça fonctionne dans les deux cas. Pourrais-tu réessayer ?

tupello Member

tupello

Posté(e)
  • Auteur
Posté(e)

Oui pardon... c'est bien "Enregistrer la cible sous..."

 

Je viens d'essayer avec IE et FireFox ; ça fonctionne dans les deux cas. Pourrais-tu réessayer ?

 

 

Voilà cette fois j'ai pu l'enregistrer. Le Brute Force Installer n'a durer qu'une fraction de seconde avant de m'afficher "complet script...".

 

du coup Norton ne m'a plus remis d'alerte pour Instantaccess et son analyse complète du PC est propre. Mais en faisant Spybot (à jour, vacciné) il me retrouve :

 

Connect MFC Application : HKEY_USERS\1-5-21-.....1005\Software\livesvc

 

MagicControl.Agent : C:\WINDOWS\system32\msegcompid.dll

 

Windows Security Center.AntiVirusDisableNotify : HKEY_LOCAL_MACHINE_\SOFTWARE\Security Center\AntiVirusDisableNotify!=dword:0

 

DoubleClick : Internet Explorer(Maman): Cookie:maman@doublecllick.net/ ()

et

Advertising.com : Internet Explorer (Maman): Cookie:maman@advertising.com/ ()

 

Merci et à tout à l'heure!

 

Tupello

tupello Member

tupello

Posté(e)
  • Auteur
Posté(e)

Voilà cette fois j'ai pu l'enregistrer. Le Brute Force Installer n'a durer qu'une fraction de seconde avant de m'afficher "complet script...".

 

du coup Norton ne m'a plus remis d'alerte pour Instantaccess et son analyse complète du PC est propre. Mais en faisant Spybot (à jour, vacciné) il me retrouve :

 

Connect MFC Application : HKEY_USERS\1-5-21-.....1005\Software\livesvc

 

MagicControl.Agent : C:\WINDOWS\system32\msegcompid.dll

 

Windows Security Center.AntiVirusDisableNotify : HKEY_LOCAL_MACHINE_\SOFTWARE\Security Center\AntiVirusDisableNotify!=dword:0

 

DoubleClick : Internet Explorer(Maman): Cookie:maman@doublecllick.net/ ()

et

Advertising.com : Internet Explorer (Maman): Cookie:maman@advertising.com/ ()

 

Merci et à tout à l'heure!

 

Tupello

 

Excusez-moi, je sais que je ne suis pas seule mais est-ce que quelqu'à vu mon dernier message?

Merci beaucoup.

Tupello

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Excellent travail !!

 

Ok, le script de Métallica cible une autre clé livesvc (dans HKCU), mais pas celle détectée par SpyBot, car son nom est différent sur chaque PC. Pas grave, ce n'est qu'un rebu. J'aimerais bien t'écrire un petit fix pour la virer, mais le nom est tronqué par tous ces pointillés, donc je peux pas.. Si tu es à l'aise avec regedit, ben tu peux aller à :

 

HKEY_USERS\1-5-21-.....1005\Software (tu verras le nom complet) et puis supprime livesvc

 

Celle-ci :

Windows Security Center.AntiVirusDisableNotify : HKEY_LOCAL_MACHINE_\SOFTWARE\Security Center\AntiVirusDisableNotify!=dword:0

..indique seulement que tu as désactivé la reconnaissance de Norton dans le "Windows Security Center". Pas grave, tant que tu fais tes mises à jour régulièrement.

 

Tu peux supprimer ce fichier :

C:\WINDOWS\system32\msegcompid.dll <<

 

Les deux autres ne sont que des cookies (qui s'ajoutent à chaque fois que tu visites une page web).

 

Repasse SpyBot, puis poste un nouveau rapport HijackThis! et dis nous si tout va bien :P

Modifié par Qc001
tupello Member

tupello

Posté(e)
  • Auteur
Posté(e)

Excellent travail !!

 

Ok, le script de Métallica cible une autre clé livesvc (dans HKCU), mais pas celle détectée par SpyBot, car son nom est différent sur chaque PC. Pas grave, ce n'est qu'un rebu. J'aimerais bien t'écrire un petit fix pour la virer, mais le nom est tronqué par tous ces pointillés, donc je peux pas.. Si tu es à l'aise avec regedit, ben tu peux aller à :

 

HKEY_USERS\1-5-21-.....1005\Software (tu verras le nom complet) et puis supprime livesvc

 

Celle-ci :

Windows Security Center.AntiVirusDisableNotify : HKEY_LOCAL_MACHINE_\SOFTWARE\Security Center\AntiVirusDisableNotify!=dword:0

..indique seulement que tu as désactivé la reconnaissance de Norton dans le "Windows Security Center". Pas grave, tant que tu fais tes mises à jour régulièrement.

 

Tu peux supprimer ce fichier :

C:\WINDOWS\system32\msegcompid.dll <<

 

Les deux autres ne sont que des cookies (qui s'ajoutent à chaque fois que tu visites une page web).

 

Repasse SpyBot, puis poste un nouveau rapport HijackThis! et dis nous si tout va bien :P

 

Et voilà oui, tout à l'air de bien aller. J'ai fait les dernières manipulations sans pouvoir m'occuper du centre de sécurité Windows car je l'avais fermer à l'installation de Norton 2006 et maintenant je ne sais pas où on va pour le remettre en service mais bon...

Après avoir redémarrer le PC j'ai passé Spybot et il n'a plus livesvc et voici le rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:45:34, on 19.01.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\a-squared\a2guard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tele2.ch/fre/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

Merci pour tout.

Tupello

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...