Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport d'analyse de mon amie

Liloute

Par Liloute
dans Analyses et éradication malwares

 Partager

Messages recommandés

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

C:\WINDOWS\Wininit.ini

était introuvable! mais le reste des manips a marcher...

 

voici le rapport de servicefilter:

 

The script did not recognize the services listed below.

This does not mean that they are a problem.

 

To copy the entire contents of this document for posting:

At the top of this window click "Edit" then "Select All"

Next click "Edit" again then "Copy"

Now right click in the forum post box then click "Paste"

 

########################################

 

ServiceFilter 1.1

by rand1038

 

Microsoft Windows XP Professionnel

Version: 5.1.2600 Service Pack 1

mars 7, 2006 23:48:15

 

 

---> Begin Service Listing <---

 

Unknown Service # 1

Service Name: ewido security suite control

Display Name: ewido security suite control

Start Mode: Auto

Start Name: LocalSystem

Description: ...

Service Type: Own Process

Path: c:\program files\ewido anti-malware\ewidoctrl.exe

State: Running

Process ID: 1772

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 2

Service Name: IDriverT

Display Name: InstallDriver Table Manager

Start Mode: Manual

Start Name: LocalSystem

Description: Provides support for the Running Object Table for InstallShield ...

Service Type: Own Process

Path: c:\program files\fichiers communs\installshield\driver\11\intel 32\idrivert.exe

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 3

Service Name: KPF4

Display Name: Kerio Personal Firewall 4

Start Mode: Auto

Start Name: LocalSystem

Description: Kerio Personal Firewall ...

Service Type: Own Process

Path: c:\program files\kerio\personal firewall 4\kpf4ss.exe

State: Running

Process ID: 1812

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service # 4

Service Name: spool

Display Name: spool

Start Mode: Disabled

Start Name: LocalSystem

Description: spool service for ...

Service Type: Own Process

Path: "c:\windows\spoollv.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 5

Service Name: svcWRSSSDK

Display Name: Webroot Spy Sweeper Engine

Start Mode: Auto

Start Name: LocalSystem

Description: Provides core functionality to Webroot Spy Sweeper. This service must be enabled and started for ...

Service Type: Own Process

Path: c:\program files\webroot\spy sweeper\wrsssdk.exe

State: Running

Process ID: 1960

Started: Vrai

Exit Code: 0

Accept Pause: Faux

Accept Stop: Vrai

 

Unknown Service #6

Service Name: SwPrv

Display Name: MS Software Shadow Copy Provider

Start Mode: Manual

Start Name: LocalSystem

Description: Gère les copies logicielles de clichés instantanés de volumes créés par le service de cliché ...

Service Type: Own Process

Path: c:\windows\system32\dllhost.exe /processid:{7ab5936e-c071-4bb9-b18c-8a248eecd9d1}

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 7

Service Name: windows antivirus

Display Name: windows virus scanner

Start Mode: Disabled

Start Name: LocalSystem

Description: windows antivirus ...

Service Type: Own Process

Path: "c:\windows\nav32.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 8

Service Name: windows kernel

Display Name: windows kernel 386

Start Mode: Disabled

Start Name: LocalSystem

Description: kernel ...

Service Type: Own Process

Path: "c:\windows\krnl386.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

Unknown Service # 9

Service Name: wordpad

Display Name: wordpad

Start Mode: Disabled

Start Name: LocalSystem

Description: windows wordpad ...

Service Type: Own Process

Path: "c:\windows\wordpad.exe"

State: Stopped

Process ID: 0

Started: Faux

Exit Code: 1077

Accept Pause: Faux

Accept Stop: Faux

 

---> End Service Listing <---

 

There are 89 Win32 services on this machine.

9 were unrecognized.

 

Script Execution Time: 2,734375 seconds.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut liloute :P

 

Du boulot en perspective pour éradiquer quelques troyans que l'on peut voir dans les services!

 

Étape 1:

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ORANS]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WORDPAD]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\orans]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wordpad]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spool]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spoolv]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows kernel]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows antivirus]

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Étape 2:

 

Redémarre en mode Sans Échec impérativement

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

-vas dans le menu démarrer executer et tu tapes :cmd

 

dans l'invite de commandes qui s'ouvre, tu tapes :

sc stop orans => clique sur [Entrée]

sc delete orans => clique sur [Entrée] Un message t'avertis du succès de l'opération.

 

Fais la même chose avec ces services=>

sc stop wordpad

sc delete wordpad

 

sc stop spool

sc delete spool

 

sc stop sysbus32

sc delete sysbus32

 

sc stop spoolv

sc delete spoolv

 

sc stop rdriv

sc delete rdriv

 

sc stop windows kernel

sc delete windows kernel

 

sc stop windows antivirus

sc delete windows antivirus

Étape 4:

 

*Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Étape 5:

 

*Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

C:\WINDOWS\wordpad.exe

-Assure toi que la case "Delete on Reboot" soit cochée.

-Cliquer sur la croix blanche sur fond rouge:

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre NON

 

Ainsi de suite tu entres les chemins de tout les fichiers=>

C:\WINDOWS\krnl386.exe

C:\WINDOWS\spoollv.exe

C:\WINDOWS\System32\drivers\sysbus32.sys

C:\WINDOWS\system32\spoolv.sys

C:\WINDOWS\system32\rdriv.sys

C:\WINDOWS\system32\orans.sys

C:\WINDOWS\nav32.exe

à la fin:

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.

 

Refais apres ca stp un rapport hijackthis comme précédemment:

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

Allez courage :P

Liloute Power Member

Liloute

Posté(e)
  • Auteur
Posté(e)

Bonsoir, :P

Tout se passe bien jusqu'à KillBox

Après avoir mis tous les fichiers et à la fin faire reboot, il fait le compte à rebours normale (verifiying registry)et après, fenetre d'erreur

Voilà ce qu'est marqué : "PendingFileRenameoperationsregistry data has been removed by external process"

C'est du a quoi?? :P

Qulles sont les directives pour la prochaine étape??

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut liloute :P

 

As tu vérifié si les fichiers existaient encore sur le disque dur?jette un oeil et dis moi stp :P

 

Assure toi avant ca de voir tous les dossiers/fichiers comme ceci=>

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Modifié par charles ingals
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut liloute :P

 

Pour info; l'alerte "PendingFileRenameoperationsregistry data has been removed by external process"

 

peut vouloir dire deux choses: soit le fichier spécifié n'existe plus, soit le fichier à été retiré de la liste des

 

fichiers à éliminer par un malware.

 

Tu redémarres le pc en mode sans échec et tu fais la recherche des fichiers en question:

 

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

-soit tu élimine manuellement les fichiers et tu vide la corbeille,puis tu passes Easycleaner.

-soit tu utilises killbox comme précédemment pour les fichiers trouvé (en entrant les chemin exact comme cité plus haut)

 

C:\WINDOWS\wordpad.exe

C:\WINDOWS\krnl386.exe

C:\WINDOWS\spoollv.exe

C:\WINDOWS\System32\drivers\sysbus32.sys

C:\WINDOWS\system32\spoolv.sys

C:\WINDOWS\system32\rdriv.sys

C:\WINDOWS\system32\orans.sys

C:\WINDOWS\nav32.exe

 

Dans tous les cas, on vérifie comme ceci au redémarrage:

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...