demande d'analyse de rapport HijackThis [RESOLU]

[tirol]

Bonjour aquarel,

J’ai bien trouvé le fichier HOSTS sans suffixe

…. mais pas de fichier HOSTS.SAM

C'est normal de ne pas avoir de fichier hosts.sam ?

 

à mon avis, non !

le hosts.sam est un "sample" ou échantillon montrant comment utiliser le fichier hosts.

 

ton fichier hosts actuel, as-tu réussi à le lire ?

renomme le en hosts.old

copie les lignes ci-après dans un fichier que tu nommeras hosts (sans extension)

# hosts de base
# Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur
127.0.0.1 localhost

 

et ressaye de télécharger ATF Cleaner et Ewido.

 

tirol.

[Aquarel]

 

ton fichier hosts actuel, as-tu réussi à le lire ?

renomme le en hosts.old

copie les lignes ci-après dans un fichier que tu nommeras hosts (sans extension)

# hosts de base
# Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur
127.0.0.1 localhost

 

Bonjour Tirol

 

Non je n'arrive pas à le lire, je ne connaits pas le programme qui ouvre un fichier hosts.

 

Je viens de faire une copie de hosts, j'ai donc :

- un ficher renommé en hosts.old

- un ficher hosts (sans extention).

 

Quel est le programme pour lire et modifier ce fichier Hosts SVP ?

Modifié le 9 avril 2006 par Aquarel

[Gof]

Bonjour,

 

Tirol s'est absenté, je me permets de répondre à ta question. Utilise le bloc-notes pour l'ouvrir et le modifier.

Modifié le 9 avril 2006 par Gof

[Aquarel]

Bonjour Gof

 

Vous faites parti d'une équipe fantastique !!!! Quel solidarité ...

 

Je viens d'intégrer les lignes dans host:

# hosts de base

# Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur

127.0.0.1 localhost" à mon ficher HOSTS.

 

Malheureusement pas de changement après le redémarrage de l'ordi.

 

Les liens http://www.atribune.org/ccount/click.php?id=1 et http://download.ewido.net/ewido-setup.exe .................. me renvoie encore sur [search.msn.com

 

Autre info:

 

Le fichier qui est vérolé est :

mssearchnet.exe (détection initiale de l’antivirus McAfee)

Évidemment impossible à l’antivirus de le supprimer. Manuellement le fichier n’est pas repérable sur le disque dur.

Je suis un peu limité en connaissance informatique, mais je ne vais pas me laisser faire !!!

 

Y a t’il un moyen de supprimer ce fichier par la commande « EXECUTER » de Windows ?

Modifié le 11 avril 2006 par Aquarel

[Gof]

Re,

 

Je viens d'intégrer les lignes dans host:

# hosts de base

# Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur

127.0.0.1 localhost" à mon ficher HOSTS.

 

Malheureusement pas de changement après le redémarrage de l'ordi.

Le guillemet ", c'est une faute de frappe lors du post de ton mot ? Sinon, il ne faut pas le mettre dans le hosts à la suite de localhost. T'es-tu assuré que tu as bien renommer le hosts en un fichier sans extension ?

Autre info:

 

Le fichier qui est vérolé est :

mssearchnet.exe (détection initiale de l’antivirus McAfee)

Évidemment impossible à l’antivirus de le supprimer. Manuellement le fichier n’est pas repérable sur le disque dur.

Je suis un peu limité en connaissance informatique, mais je ne vais pas me laisser faire !!!

Je ne comprends pas. Tu viens de suivre une procédure et tu serais déjà reinfecté ?

[Gof]

Quand tu te reconnecteras, pourras tu faire ceci stp ?

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

[Aquarel]

Pour une plus grande clarté, je reprends ici une description de mes soucis rencontrés, une sorte de pas à pas des faits qui se sont produits depuis le début de l’infection.

 

VIRUS contracté le 05/04/2006 à 18h43 …

Ce virus est détecté et bloqué en parti seulement par mon antivirus McAfee.

NOM : cheval de Troie (new Malvare.j)

NOM du fichier infecté : C/WINDOWS/SYSTEM32 … mssearchnet.exe

 

Impossible à l’antivirus de supprimer ce fichier qui a été mis en quarantaine

En manuellement le fichier sur mon disque dur n’est pas éditable.

L’analyse de mon rapport HijackThis montre la présence du trojan Dropper-GF

 

Je résume les problèmes rencontrés :

 

05/04/2006 : Apres l’infection, apparition de nouvelles barres d’outils et de sécurité

- j’ai bloqué puis supprimé ces modules

 

Problème de navigation

- Mon site favori (Ebay) qui est en page de démarrage est renvoyé automatiquement sur des sites indésirables.

- je remplace ma page de démarrage par Google

 

Depuis l’infection, il m’est impossibilité de me connecter sur Ebay.

Quand j’essaye de le faire, l’erreur suivante apparaît:

 

IEXPLORE.exe a rencontré un problème et doit fermer.

AppName: iexplore.exe AppVer: 6.0.2900.2180 ModName: kernel32.dll

ModVer: 5.1.2600.2180 Offset: 0001eb33

Erreur d’application : L’instruction à « 0x01a239fe » emploie l’adresse mémoire « 0x01aa0080 »

La mémoire ne peut pas être « read »

 

------

 

06/04/2006 :

Je vous contacte sur le site « forum.zebulon.fr » en vous soumettant mon rapport HijackThis.

 

Suite à vos reponses, j’essaye d’appliquer vos conseils de téléchargement.

En cliquant sur vos LIENS, je suis automatiquement renvoyé sur une autre adresse qui se substitue à celle de vos liens

- je tombe sur ceci :

search.msn.com ou www-search.net

 

Je change alors de méthode et je tape manuellement une URL dans mon navigateur.

 

Par exemple: (http://www.atribune.org/ccount/click.php?id=1 )

La encore je suis détourné vers //search.msn.com ou //www-search.net

 

Idem pour Ewido, SmitfraudFix ….

Il semble que tous les sites qui permettent le chargement de programmes pour combattre les virus soient systémiquement reconnus et redirigés vers //search.msn.com ou www-search.net pour empêcher tout téléchargement.

 

08/04/2006 :

Je suis les conseils de tirol et modifie mon fichier HOSTS tel que:

# hosts de base

# Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur

127.0.0.1 localhost

 

Pas de résultat positifs…. Les sites de téléchargement sont encore redirigés vers search.msn.com ou www-search.net

 

Depuis l'infection, à chaque redémarrage de ma machine mon antivirus McAfee détecte un nouveau cheval de Troie (PUPER) qu’il bloque et qu’il supprime. (C/Windows/Syteme32/ xxx.tmp)

 

Voila où j'en suis.

 

Il est donc inutile de me proposer des nouveaux liens pour télécharger des programmes, ces liens étant systématiquement annulés et remplacés par un site illicite.

 

Il faudrai donc trouver une nouvelle méthode et tout reprendre à zéro.

 

Pour Gof :

Il n’y a pas de guillemet dans mon fichier hosts et ma machine n’est pas réinfectée car pour le moment il m’est impossible de suivre une procédure de désinfection.

 

Merci à tous ceux qui tentent de m’aider :

kevin76

charles ingals

tirol

Gof

 

Aquarel

Modifié le 11 avril 2006 par Aquarel

[regis56]

Bonsoir Aquarel !

 

As tu la possibilité de télécharger les outils sur un autre pc et de les importer sur le pc infecté ?

[Aquarel]

Bonsoir regis56

 

Oui je pense aussi à cette solution .... récupérer vos programmes sur un autre ordi en utilisant une clé USB.

 

Quels sont les grogrammes à télécharger en priorité ?

[Thanos]

salut regis56 , Aquarel

 

Avant toute chose, n'ai pas peur en voyant la longueur de ma réponse LOL!!ce n'est pas compliqué, suis bien les étapes.

 

Cette redirection automatique sur le site que tu nommes (pense à éditer ton message et remplacer l'adresse comme ceci=> hxxp://search.msn.com/ ou hxxp://www-search.net/ pour éviter qu'on ne se logue dessus )

fait penser que tes sites de restrictions ont été piratés, mais ce n'est bizarrement pas visible sur ton rapport hijackthis...

Aussi pour tenter de remédier à ce problème Aquarel, voilà ce que je te propose=>

 

On va tenter de restaurer les zones de confiance et de restriction dans ta base de registre en utilisant "DELDOMAINS de Mike Burgess" , je te met deux possibilités:

- tu essaies de télécharger le fichier(ce qui serait étonnant!)

- ou si le lien ne fonctionne pas , tu crées toi même le fichier comme je te l'indiquerai ci dessous.

 

 

Étape 1:

 

-Fais un clic droit sur le lien suivant : DELDOMAINS de Mike Burgess et choisis "Enregistrer la cible sous".

 

-Dans la fenêtre qui vient de s'ouvrir :

-Dans le champs "Enregistrer sous" choisis"Bureau"

-Clique sur "Enregistrer".

- ne clique pas sur le fichier maintenant!

 

Si ca ne fonctionne pas:

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" ) :

 

; DelDomains.inf © 11-28-04 | Revised 01-15-06
; Created by: Mike Burgess  Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
; http://mvps.org/winhelp2002/restricted.htm
;
; Revised to include the EscDomains key
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.
; Note: you will not see any onscreen action.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains"

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis"Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:DelDomains.inf

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

Il faut se débarrasser de cette BHO véreuse qui apparait sur ton rapport hijackthis:

 

*Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{C8F21DFE-B35C-4274-82EC-1E072D09025E}]

[-HKEY_CLASSES_ROOT\CLSID\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C8F21DFE-B35C-4274-82EC-1E072D09025E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\DBZBHO]

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\SYSTEM32\winbrume.dll

O2 - BHO: (no name) - {C8F21DFE-B35C-4274-82EC-1E072D09025E} - C:\WINDOWS\SYSTEM32\winbrume.dll

 

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-30.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

* Désenregistre la dll suivante:

 

Passe par Démarrer\Exécuter et tapes => regsvr32 /u c:\windows\system32\winbrume.dll

Clique sur le bouton "OK"Un message doit t'avertir que ca a réussi.

 

* Supprime le fichier en gras dans C:\WINDOWS\System32:

 

c:\windows\system32\winbrume.dll

 

- Vide la corbeille.

 

Étape 5:

 

* Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

* Fais un clic droit sur le fichier DelDomains.inf et dans le menu qui se déroule, choisis "Installer".Elimine le fichier .

 

Étape 6:

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

Réessaie de télécharger ATF Cleaner et Ewido.Lance Smitfraudfix ,option 1 , comme te l'as demandé Gof(poste le rapport généré)

Si tu as le moindre problème, ou que tu as besoin de précisions, n'hésite pas!

Tiens nous au courant

Edit:si vraiment ca ne fonctionne pas après ca, tu pourras utiliser une clé USB pour transporter ces programmes. PAr contre il faudra aussi penser à télécharger les fichiers de mise à jour pour Ewido!

 

Allez courage!

Modifié le 9 avril 2006 par charles ingals