Pb avec le trojan Horst-c

[Tointoin]

Ok je te remercie j'attend ta procédure quand tu as le temps.

 

A toute

[Tointoin]

C'était juste pour savoir si j'avais encore des procédures a faire ou pas, est ce terminé?

Si oui quoi faire maintenant?

 

Mreci beaucoup

[Thanos]

re ToinToin

 

Ne t'inquiête pas, tu en voit le bout

 

Bon on s'attaque aux clés infectées qu'on va virer comme ceci=>

 

Télécharger RegDACL de Frank Heyne sur le Bureau

http://www.heysoft.de/nt/reg/doc/RegDACLE.zip

 

Créer un dossier Regdacl sur le Bureau comme ceci=>

Clic droit sur un espace vide du Bureau

Sélectionner Nouveau Dossier sur le menu et le nommer Regdacl

Dézipper les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau.

 

Copier / coller le texte suivant dans le Bloc-Notes. Faites en sorte que Retour automatique à la ligne n'est pas coché (Menu Format)

 

@echo off

echo %DATE% %TIME% >fixme.txt

For %%i in ("HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG","HKLM\SYSTEM\SYSTEM\ControlSet002\Services\Windows Log","HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG","HKLM\SYSTEM\ControlSet003\Services\Windows Log","HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG","HKLM\SYSTEM\CurrentControlSet\Services\Windows Log") Do regdacl %%i /GGE:F(CI) -ANSI>>fixme.txt

ping 1.1.1.1 -n 1 -w 1000>NUL

type fixme.txt | find /v /i "RegDACL 5.1" > newfix.txt

del fixme.txt

type newfix.txt | find /v /i "Copyright" > fixme.txt

del newfix.txt

type fixme.txt | find /v /i "Freeware" > newfix.txt

del fixme.txt

type newfix.txt > fixme.txt

del newfix.txt

echo.>>fixme.txt

echo ==========>>fixme.txt

echo.>>fixme.txt

(echo Effacement de ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG

reg delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG /f

echo.....

echo Effacement de ControlSet002\Services\Windows Log

reg delete HKLM\SYSTEM\SYSTEM\ControlSet002\Services\Windows Log /f

echo.....

echo Effacement de ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG

reg delete HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG /f

echo.....

echo Effacement de ControlSet003\Services\Windows Log

reg delete HKLM\SYSTEM\ControlSet003\Services\Windows Log /f

echo.....

echo Effacement de CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG

reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG /f

echo.....

echo Effacement de CurrentControlSet\Services\Windows Log

reg delete HKLM\SYSTEM\CurrentControlSet\Services\Windows Log /f

echo.....

)>logit.txt 2>&1

type logit.txt >> fixme.txt

start fixme.txt

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis le dossier Regdacl.

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:klegacy.bat

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers(pas comme un document texte).

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes

-Le fichier que tu as créé doit ressembler à ca=>

 

Ouvrir le dossier Regdacl sur le Bureau, double-clic sur klegacy.bat. Une fenêtre DOS sera visible un cour instant, ceci est normal.

Le Bloc-Notes ouvrira fixme.txt, poster le contenu s.v.p

 

Deux trois broutilles après ca et c'est fini,allez courage

[Tointoin]

Salut Charles,

 

Ok tout s'est bien passé, voici le résultat

 

 

 

 

 

02/05/2006 12:58:01,39

 

 

 

Granting "F(CI)" access for really "Everyone"

- changing existing entry

 

 

 

 

Can't open Registry key HKLM\SYSTEM\SYSTEM\ControlSet002\Services\Windows Log:

 

2 - Le fichier spécifié est introuvable.

 

 

 

Granting "F(CI)" access for really "Everyone"

- changing existing entry

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- adding new entry

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- really "Everyone" has already all permissions you want to grant

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- adding new entry

 

 

==========

 

Effacement de ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG

 

L'opération s'est bien déroulée

....

Effacement de ControlSet002\Services\Windows Log

 

Erreur : paramètres de ligne de commande non valides

....

Effacement de ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG

 

L'opération s'est bien déroulée

....

Effacement de ControlSet003\Services\Windows Log

 

Erreur : paramètres de ligne de commande non valides

....

Effacement de CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG

 

Erreur : le système n'a pas pu trouver la clé ou la valeur de Registre spécifiée

....

Effacement de CurrentControlSet\Services\Windows Log

 

Erreur : paramètres de ligne de commande non valides

....

 

 

 

A tout a l'heure

[Thanos]

salut Tointoin

 

Bien, est ce que tu veux faire une dernière recherche avec Regsearch sur Windows Log(comme précédemment : message #19) et poster le rapport?

Comment fonctionne le pc?

 

Le scan de Kaspersky a trouvé des fichiers infectés dans la restauration système:pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...6?OpenDocument)

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

 

 

Cliquez sur OK, redémarrer votre PC.Faites l'opération inverse, et réactivez la restauration:un nouveau point sera automatiquement créé.

Modifié le 2 mai 2006 par charles ingals

[Tointoin]

Pour ce qui est du pc , tout va bien il n'y a plus d'alerte.

J'ai fait tourné Regsearch comme tu me l'a demandé, je te rassure ça ne m'embête pas de faire ces manip je préfère que ça me prenne du temps et que tout soit bien aprés, dit moi si il y a d'autres choses a faire.

Je me demandais si aprés tout ça mon pc était protéger contre notament Horst-c ou bien est ce que l'on a "simplement " enlevé ce trojan et qu'il peut réapparaitre par la suite. Mon pc est il vacciné ?

 

 

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 02/05/2006 14:17:59 for strings:

; 'windows log'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log]

"DisplayName"="Windows Log"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]

"DisplayName"="Windows Log"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]

"DisplayName"="Windows Log"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log\Enum]

 

; End Of The Log...

 

 

A plus

[Tointoin]

J'ai aussi désactiver la restauration système

[Thanos]

salut Tointoin

 

Très bien! Bizarrement Regdalc n'a pas tout effacé...mais il a enlevé les clés les plus difficiles à éliminer(clés LEGACY)! à présent un simple fichier reg à créer,et c'est dans la poche!

 

Étape 1:

 

*Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:kilwnlog.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Double cllique sur le fichierkilwnlog.reg.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Étape 4:

 

Redémarre normalement et pour la dernière fois, st, fais une recherche avec Regsearch sur le même élément=> Windows Log

 

On peut faire une petite optimisation après si tu veux(cocher certaines lignes inutiles dans hijackthis!)

Je me demandais si aprés tout ça mon pc était protéger contre notament Horst-c ou bien est ce que l'on a "simplement " enlevé ce trojan et qu'il peut réapparaitre par la suite. Mon pc est il vacciné ?

Il n'y a pas de logiciel miracle pour protéger le pc à 100%, mais avec quelques précautions, pas de soucis(je te laisserai quelques consignes à la fin!).Par contre télécharge et installe immédiatement un firewall pour protéger ton pc!!=>

 

Tu as le choix entre plusieurs parefeu gratos: juste une "règle" à respecter:

 

-Si tu gardes Avast, on rapporte des risques de conflit avec Zone alarm .

 

les parefeu que tu peux installer (Antivir +Za vont bien ensemble!):

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

-pour télécharger kério:

http://www.sunbelt-software.com/Kerio-Download.cfm

-son tutorial:

http://www.vulgarisation-informatique.com/kerio.php

-Patch francais:

http://macmicro.chez-alice.fr/Download/download.htm

 

-pour télécharger Sygate:

http://www.symantecstore.com/dr/v2/ec_main...CACHE_ID=203890

-son tutorial:

http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm

 

@ toute à l'heure!

[Tointoin]

Ok tout s'est trés bien passer je pense puisse qu'il ne reste plus rien avec Regsearch.

Je t'envoi aussi un petit rapport Hijackthis puisque tu m'en parle, pas de problème si tu veux optimiser mon systéme;

En tout cas ma machine va beaucoup plus vite qu'avant j'ai l'impression d'etre en 24 mega, trop bien merci tout.

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 02/05/2006 19:52:23 for strings:

; 'windows log'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:57:43, on 02/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\LVComS.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.fr/

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B67E451E-C120-4343-BCEB-910DDBFFB953}: NameServer = 80.10.246.1 80.10.246.132

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

 

 

 

A toute

[Tointoin]

Bonsoir Charles,

 

Je voulais te dire que je m'absentais pendant 3 jours de chez moi donc je ne pourrais pas m'occuper de mon pc par contre j'aurais toujours accés au net donc n'hésite pas si tu veux me contacter.

 

Bonne nuit et à trés bientot pour les derniers réglages.