systeme compromis? [re attente analyse hijackthis(+ewido) 3eme(plutot

[spagetti&prosciutto]

bonjour...

je suis a la recherche de trace de compromission d'un systeme afin de voir si les virus trouve sont la suite d'interventions humaines ou non

 

Ne conaissant pas bien windows je me demandait quels sont les vrais(officiel) acount d'users qu'on trouve normalement sur une machine windows(famille NT) et comment trouver tout ces acounts

 

par exemple quels sont les users sous le groupe "NT AUTHORITY" ou WORKGROUP?

Modifié le 8 avril 2006 par spagetti&prosciutto

[bruce lee]

bonjour,

 

pas tout compris

 

tu veux savoir si tu as des bebetes qui trainent dans ton PC?

 

si oui faut passer par la procedure preliminaire que voici:

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

auteur : megataupe

[spagetti&prosciutto]

bonjour,

 

pas tout compris

 

tu veux savoir si tu as des bebetes qui trainent dans ton PC?

 

si oui faut passer par la procedure preliminaire que voici:

j'ai deja des bebetes...et des tres mechantes avec un executable non detecte par clamav(clamwin)!!! que je leur enverai d'ailleurs...

 

je voudrai savoir quelle est l'etendue de la chose...(important)

 

donc je cherche a savoir si les comptes sont compromis

 

par exemple est ce que:

[0] Logon session 00000000:XXXXXXXX: (evidament XXXX est remplacee par une valeure)

User name: WORKGROUP\NOM DE MON USERNAME$ (le $ est acole a ce nom)

Auth package: NTLM

Logon type: (none)

Session: 0

Sid: S-X-X-XX (pareil pour les XXX)

Logon time: 04/04/2006 12.34.42

168: \SystemRoot\System32\smss.exe

188: \??\C:\WINNT\system32\csrss.exe

136: \??\C:\WINNT\system32\winlogon.exe

236: C:\WINNT\system32\services.exe

248: C:\WINNT\system32\lsass.exe

408: C:\WINNT\system32\svchost.exe

444: C:\WINNT\System32\svchost.exe

492: C:\WINNT\system32\spoolsv.exe

548: C:\WINNT\system32\nfsclnt.exe

640: C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

668: C:\WINNT\System32\nvsvc32.exe

708: C:\WINNT\system32\regsvc.exe

740: C:\SFU\common\rshsvc.exe

764: C:\WINNT\system32\MSTask.exe

820: C:\WINNT\system32\stisvc.exe

872: C:\WINNT\SYSTEM32\THOTKEY.EXE

908: C:\Programmi\TOSHIBA\TME3\Tmesbs3.exe

972: C:\WINNT\System32\WBEM\WinMgmt.exe

1044: C:\WINNT\System32\mspmspsv.exe

896: C:\WINNT\system32\svchost.exe

1056: C:\WINNT\system32\PSXRUN.EXE

1096: \??\C:\WINNT\system32\psxss.exe

1120: C:\SFU\Mapper\mapsvc.exe

1172: C:\WINNT\system32\nfssvc.exe

1192: C:\WINNT\system32\pcnfsd.exe

1316: \??\C:\SFU\usr\sbin\zzInterix

1824: C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

532: C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

1212: C:\DOCUME~1\FC1\IMPOST~1\Temp\NQZ.exe

1684: C:\WINNT\system32\cmd.exe

2008: C:\WINNT\system32\CMD.EXE

Modifié le 6 avril 2006 par spagetti&prosciutto

[bruce lee]

pour savoir l'etendue des degats il faut que tu suives la procedure preliminaire,que tu postes ton log hijackthis et a ce moment la je te dirais si il y a beaucoup de degats

[spagetti&prosciutto]

pour savoir l'etendue des degats il faut que tu suives la procedure preliminaire,que tu postes ton log hijackthis et a ce moment la je te dirais si il y a beaucoup de degats

c'est quoi hijack this?

 

ah spyware remover...

je vais essayer...

mais ca n'as pas l'air d'etre le resultat de spyware...

 

en gros j'ai un exexutable qui telecharge des virus et les lance!!!

l'executable n'etant detecte par aucaun anti-virus

Modifié le 6 avril 2006 par spagetti&prosciutto

[bruce lee]

n'utilise spyware remover c'est un faux utilitaire de protection!

[spagetti&prosciutto]

quelques precisions:

*j'ai rootkit revealer qui run

*j'ai colinux qui compile Xorg

*l'executable en question se cache dans:

C:\WINNT\svchost.exe ce qui ressemble a C:\WINNT\System32\svchost.exe

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16.27.25, on 06/04/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\nfsclnt.exe

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\SFU\common\rshsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\SYSTEM32\THOTKEY.EXE

C:\Programmi\TOSHIBA\TME3\Tmesbs3.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\PSXRUN.EXE

C:\WINNT\system32\psxss.exe

C:\SFU\Mapper\mapsvc.exe

C:\WINNT\system32\nfssvc.exe

C:\WINNT\system32\pcnfsd.exe

C:\SFU\usr\sbin\zzInterix

C:\SFU\usr\sbin\init

C:\SFU\usr\sbin\inetd

C:\SFU\usr\sbin\cron

C:\WINNT\Explorer.EXE

C:\WINNT\system32\TPWRTRAY.EXE

C:\WINNT\system32\TFNF5.exe

C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Programmi\Apoint2K\Apoint.exe

C:\Programmi\TOSHIBA\TouchED\TouchED.Exe

C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe

C:\Programmi\ClamWin\bin\ClamTray.exe

C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE

C:\Programmi\Apoint2K\Apntex.exe

C:\WINNT\system32\ctfmon.exe

C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe

C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\WINNT\system32\cmd.exe

C:\Programmi\coLinux\colinux-daemon.exe

C:\Programmi\coLinux\colinux-net-daemon.exe

C:\Programmi\coLinux\colinux-console-fltk.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\DOCUME~1\FC1\IMPOST~1\Temp\Rar$EX05.173\RootkitRevealer.exe

C:\DOCUME~1\FC1\IMPOST~1\Temp\NQZ.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\cmd.exe

C:\DOCUME~1\FC1\IMPOST~1\Temp\Rar$EX06.438\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programmi\TOSHIBA\TME3\TMESRV3.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programmi\TOSHIBA\TME3\TMESBS3.EXE /logon

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [Configuration Loader] bot.exe

O4 - HKLM\..\Run: [Microsoft DOS] dos.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINNT\System\svchost.exe /s

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINNT\System\regserv.exe /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [Configuration Loader] bot.exe

O4 - HKLM\..\RunServices: [Microsoft DOS] dos.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [system] C:\WINNT\svchost.exe

O4 - Global Startup: 3Com Wireless 11g PC Card.lnk = C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe

O4 - Global Startup: Collegamento a Filemon.exe.lnk = C:\Documents and Settings\FC1\Desktop\system\apps (.exe)\FilemonNt\Filemon.exe

O4 - Global Startup: Device Detector 2.lnk = C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MSCOMM32.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - http://www.villaserbelloni.com/multilang/sdvideo/svideo.cab

O23 - Service: Configuration Loader (a3) - Unknown owner - C:\WINNT\System32\bot.exe" -service (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Microsoft DOS (MSDOS) - Unknown owner - C:\WINNT\System32\dos.exe" -service (file missing)

O23 - Service: NQZ - Sysinternals - www.sysinternals.com - C:\DOCUME~1\FC1\IMPOST~1\Temp\NQZ.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE

O23 - Service: Tmesbs3 (Tmesbs) - TOSHIBA Corporation - C:\Programmi\TOSHIBA\TME3\Tmesbs3.exe

O23 - Service: Tmesrv3 (Tmesrv) - Toshiba - C:\Programmi\TOSHIBA\TME3\Tmesrv3.exe

[bruce lee]

ton log hijackthis est tes infecté!!(rarement vu autant de bebetes qui trainent dans un log )

 

suis la procedure preliminaire et reposte un nouveau log hijackthis

Modifié le 6 avril 2006 par bruce lee

[spagetti&prosciutto]

ton log hijackthis est tes infecté!!(rarement vu autant de bebetes qui trainent dans un log )

 

suis la procedure preliminaire et reposte un nouveau log hijackthis

 

je ne connais pas bien windows,en effet je ne l'uttilise pas depuis plusieurs annees(linux)...

je connait donc son architecture sans avoir la pratique de ce genre d'os (du genre est ce que ce fichier est officiel ou non...)

 

quels sont les signes de bebetes?

[bruce lee]

je ne connais pas bien windows,en effet je ne l'uttilise pas depuis plusieurs annees(linux)...

je connait donc son architecture sans avoir la pratique de ce genre d'os (du genre est ce que ce fichier est officiel ou non...)

 

quels sont les signes de bebetes?

 

quand on voit par exemple ce genre de ligne:

 

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINNT\System\svchost.exe /s

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s

 

 

s'il te plait suis la procedure preliminaire