Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Eradication instant.access impossible


Kyos

Messages recommandés

Bonjour

 

Jusqu'il y a peu, je coulais des jours heureux, n'ayant pas vraiment eu de problème d'infection. Ma protection semblait être efficace, avec le NAV et SpyBot (renforcée depuis, voir config dans mon profil). Et je nétais pas particulièrement attiré par le sujet.

 

J'ai commencé à avoir des alertes Norton et des fenêtre publicitaire indues (casinos divers et winantispyware notamment). Les alertes Norton lançaient un scan rapide, il fallait relancer le système, et tout de suite après re-alerte. Je tournais en rond. La seule parade à cette perte de contrôle que j'ai trouvée et d'indiquer à Norton de laisser tompber le problème pendant 1/2 heure. Je peux alors reprendre la main.

 

J'ai cherché un peu partout, et avant d'arriver ici, on m'a orienté vers plusieurs choses dont Hijack. Avec ce dernier, il me semble avoir pu supprimer mailskinner..., mais je suis toujours embêté par instant.acces et peut-être d'autres trucs qui me semble suspect dans le rapport (en 04). Mais je découvre tous celà, je ne sais pas interpréter, je m'appuie seulement sur le tutorial et la formation Hijack du site.

 

J'ai utilisé spybot, ad aware etc... tirant un peu partout :P , et même un scan en ligne avec kaspersy qui m'a trouvé deux trucs nouveaux (rapport ci dessous). Bref je suis complètement paumé.

 

Sunday, March 12, 2006 6:45:16 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 12/03/2006

Kaspersky Anti-Virus database records: 170982

 

 

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

E:\

F:\

 

Scan Statistics

Total number of scanned objects 107570

Number of viruses found 2

Number of infected objects 2

Number of suspicious objects 0

Duration of the scan process 03:05:28

 

Infected Object Name Virus Name Last Action

C:\System Volume Information\_restore{60D7F138-3719-413E-A11E-C39B2CC4C9FB}\RP30\A0044896.exe Infected: Backdoor.Win32.ServU-based skipped

 

C:\System Volume Information\_restore{60D7F138-3719-413E-A11E-C39B2CC4C9FB}\RP9\A0020583.exe Infected: HackTool.Win32.Clearlog skipped

 

Scan process completed.

 

Le log Hijack que j'ai actuellement n'a pas été fait en mode sans échec. Si vous le voulez bien m'aider, je le refais dans ce mode et vous l'envoie.

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Kyos et bienvenue sur Zébulon,

 

as-tu appliqué la procédure préliminaire?

 

http://forum.zebulon.fr/index.php?showtopic=83986

 

si oui alors post un rapport hijackthis en mode normale et un conseiller viendra te dire que faire.

Ce que trouve kasperky n'est pas méchant puisque celà se trouve dans la réstauration système.

 

bonne soirée

 

Igor

Modifié par igor51
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir

 

Merci de ta réponse.

 

Bonjour Kyos et bienvenue sur Zébulon

Merci.

 

as-tu appliqué la procédure préliminaire?

http://forum.zebulon.fr/index.php?showtopic=83986

Je viens de refaire tout cela. Le fait d'avoir la procédure assure vraiment. Merci à ceux qui ont fait ce travail, précieux pour un débutant en la matière.

Un petit problème néanmoins avec l'utilisation de Antivir, qui ne semble pas fonctionner en mode sans echec (ou je n'ai pas su le faire démarrer). Et l'interface est notablement différente du tuto. Bref, je l'ai viré et j'ai utiisé Spy Sweeper, qui possède une fonctionnalité mode sans echec. Je mets le rapport en fin de ce post avec le rapport Hijack (sans echec lui aussi).

 

Ce que trouve kasperky n'est pas méchant puisque celà se trouve dans la réstauration système.
J'ai supprimé les points de restauration, donc plus de problème.

 

Aux dernière nouvelles, il semble que cela se soit vraiment amélioré. Une alerte Norton vers Midi (Dialer.InstantAccess, rien avant et rien après (ni alerte, ni fenêtres publicitaires). Serais-je enfin débarrassé de tous ces grrrr. Cette alerte a probablement été déclenchée lors d'un changement d'une session utilisateur.

 

Bon, assez parlé, voici les rapports.

 

19:15: | Start of Session, lundi 13 mars 2006 |

19:15: Spy Sweeper started

19:15: Sweep initiated using definitions version 630

19:15: Starting Memory Sweep

19:17: Memory Sweep Complete, Elapsed Time: 00:01:27

19:17: Starting Registry Sweep

19:17: Registry Sweep Complete, Elapsed Time:00:00:24

19:17: Starting Cookie Sweep

19:17: Cookie Sweep Complete, Elapsed Time: 00:00:00

19:17: Starting File Sweep

19:35: File Sweep Complete, Elapsed Time: 00:17:21

19:35: Full Sweep has completed. Elapsed time 00:19:26

19:35: Traces Found: 0

 

Logfile of HijackThis v1.99.1

Scan saved at 19:56:01, on 13/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [EasyPHP] "C:\Program Files\EasyPHP\easyphp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program Files\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

 

Alors, qu'en est-il? Suis-je vraiment débarassé? Je m'interrogesur beaucoup de points, et notemment sur 023:BOONTY que j'avais supprimé des services dans config et qui est réapparu. Je ne sais pas ce que c'est...

 

Dernier point: connais-tu une bonne approche sur le paramétrages des utilisateurs? J'ai besoin de faire le point à ce sujet, mais c'est une autre histoire...

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...