Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

systeme compromis? [re attente analyse hijackthis(+ewido) 3eme(plutot

spagetti&prosciutto
 Partager

Messages recommandés

spagetti&prosciutto Member

spagetti&prosciutto

Posté(e)
  • Auteur
Posté(e)

quand on voit par exemple ce genre de ligne:

 

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINNT\System\svchost.exe /s

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s

s'il te plait suis la procedure preliminaire

 

ok

1)je finit mon analyse et poste le fichier a clamav

2)je suit absolument ta procedure...

 

sinon:

*est ce que ce que je doit enlever le log ou des informations precises du forum afin de ne pas donner des numeros comme les acounts a un attaquant

*ca doit etre le resultat d'un windows2000(donc moin securise que XP du au failles critiques patches silencieusement par microsoft) sp4 mais sans les mises a jour de securitee...

spagetti&prosciutto Member

spagetti&prosciutto

Posté(e)
  • Auteur
Posté(e)

ce que tu vas faire:

 

suivre mon poste de 15h32 et quand ca sera finit tu reposte un nouveau log hijackthis dans ce sujet ci.

ok...

je vais quand meme essayer une procedure manuelle avant car antivir detecte uniquement les virus et non pas le programme qui s'amuse a les telecharger et les executer...

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e)
ok...

je vais quand meme essayer une procedure manuelle avant car antivir detecte uniquement les virus et non pas le programme qui s'amuse a les telecharger et les executer...

 

je ne sais ce que tu apeles procedure manuelle mais moi ce que je te dis c'est de faire la procedure preliminaire.apres on s'occupera des bestioles qui restera.

spagetti&prosciutto Member

spagetti&prosciutto

Posté(e)
  • Auteur
Posté(e) (modifié)

je ne sais ce que tu apeles procedure manuelle mais moi ce que je te dis c'est de faire la procedure preliminaire.apres on s'occupera des bestioles qui restera.

ce que je vais faire:

1)cloner le dd

2)suivre exactement ta procedure...

 

parce que j'ai absolument besoin de sacoir ce qui a pu etre envoye,de plus le fichier n'as pas ete detecte par l'anti-virus

 

le meme executable s'occupait aussi de loguer internet explorer qui n'est heureusement plus uttilise...

log qu'il envoie mais j'ai pas encore determine ou...

 

sinon merci beaucoup pour ton aide...

Modifié par spagetti&prosciutto
spagetti&prosciutto Member

spagetti&prosciutto

Posté(e)
  • Auteur
Posté(e)

Logfile of HijackThis v1.99.1

Scan saved at 5.23.33, on 07/04/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\nfsclnt.exe

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\SFU\common\rshsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\SYSTEM32\THOTKEY.EXE

C:\Programmi\TOSHIBA\TME3\Tmesbs3.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\PSXRUN.EXE

C:\WINNT\system32\psxss.exe

C:\SFU\Mapper\mapsvc.exe

C:\WINNT\system32\nfssvc.exe

C:\WINNT\system32\pcnfsd.exe

C:\SFU\usr\sbin\zzInterix

C:\WINNT\Explorer.EXE

C:\SFU\usr\sbin\init

C:\SFU\usr\sbin\inetd

C:\SFU\usr\sbin\cron

C:\WINNT\system32\TPWRTRAY.EXE

C:\WINNT\system32\TFNF5.exe

C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Programmi\Apoint2K\Apoint.exe

C:\Programmi\TOSHIBA\TouchED\TouchED.Exe

C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe

C:\Programmi\ClamWin\bin\ClamTray.exe

C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE

C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programmi\Apoint2K\Apntex.exe

C:\Programmi\QuickTime\qttask.exe

C:\WINNT\system32\ctfmon.exe

C:\Programmi\MSN Messenger\MsnMsgr.Exe

C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe

C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

C:\Documents and Settings\FC1\Desktop\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programmi\TOSHIBA\TME3\TMESRV3.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programmi\TOSHIBA\TME3\TMESBS3.EXE /logon

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programmi\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [Configuration Loader] bot.exe

O4 - HKLM\..\Run: [Microsoft DOS] dos.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINNT\System\regserv.exe /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [Configuration Loader] bot.exe

O4 - HKLM\..\RunServices: [Microsoft DOS] dos.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: 3Com Wireless 11g PC Card.lnk = C:\Programmi\3Com\3Com OfficeConnect Wireless Utility\3Com Wireless 11g PC Card\Monitor.exe

O4 - Global Startup: Collegamento a Filemon.exe.lnk = C:\Documents and Settings\FC1\Desktop\system\apps (.exe)\FilemonNt\Filemon.exe

O4 - Global Startup: Device Detector 2.lnk = C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MSCOMM32.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - http://www.villaserbelloni.com/multilang/sdvideo/svideo.cab

O23 - Service: Configuration Loader (a3) - Unknown owner - C:\WINNT\System32\bot.exe" -service (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Microsoft DOS (MSDOS) - Unknown owner - C:\WINNT\System32\dos.exe" -service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE

O23 - Service: Tmesbs3 (Tmesbs) - TOSHIBA Corporation - C:\Programmi\TOSHIBA\TME3\Tmesbs3.exe

O23 - Service: Tmesrv3 (Tmesrv) - Toshiba - C:\Programmi\TOSHIBA\TME3\Tmesrv3.exe

spagetti&prosciutto Member

spagetti&prosciutto

Posté(e)
  • Auteur
Posté(e) (modifié)

bonjour analyse en cours, retour dans 45 minutes environ

merci beaucoup...

 

je suis tres curieux de savoir comment tu sait tout ca...

tout cela me parait tres misterieux/magique...

tu regarde un log et magiquement tu peux voir que le pc est infecte alors qu moi je voit rien...lol

je suis tres impressione

Modifié par spagetti&prosciutto
bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

re,

 

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/fr/

 

Installe et mets à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/fais:

demarer executer services.msc repere Configuration Loader

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

fais le meme manip pour:

 

Microsoft DOS

 

4/maintenant que les services sont désactivé on va les supprimer.

 

demarrer\executer cmd execute cette commande qui est en citation sans le mot citation

 

sc delete Configuration Loader

 

tu fais de meme pour ceci:

 

Microsoft DOS

 

5/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O4 - HKLM\..\Run: [Configuration Loader] bot.exe

O4 - HKLM\..\Run: [Microsoft DOS] dos.exe

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s

O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINNT\System\regserv.exe /s

O4 - HKLM\..\RunServices: [Configuration Loader] bot.exe

O4 - HKLM\..\RunServices: [Microsoft DOS] dos.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

7/supprime ce qui est en gras:

 

C:\WINNT\System\ winlogon.exe<== le fichier ATTENTION! pour winlogon.exe ne supprime surtout pas celui qui est dans le system32

C:\WINNT\System\ regserv.exe<== le fichier

C:\WINNT\web\ related.htm<== le fichier

 

on va supprimer aussi ceux qui n'ont pas de chemin d'acces:

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

en recherche tu mets(si trouvé tu les supprimes):

 

bot.exe

 

et tu fais aussi une recherche sur:

 

dos.exe

 

 

8/Relance Ewido et clique sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

9/redemarre en mode normal

 

10/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

 

bonne chance :P

Modifié par bruce lee
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

Salut,

 

je me permet d'invernir sur ce post, je vois des lignes farfelues ????

 

C:\SFU\common\rshsvc.exe

C:\SFU\Mapper\mapsvc.exe

C:\SFU\usr\sbin\zzInterix

C:\SFU\usr\sbin\init

C:\SFU\usr\sbin\inetd

C:\SFU\usr\sbin\cron

 

 

spagetti&prosciutto, tu peux m'expliquer ce que font ces lignes de daemon Linux sous Windows ????

Modifié par tesgaz

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...