[trojan.gen] récurrent
Résolu/Fermé
g_calavera
-
20 juil. 2005 à 01:28
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 20 juil. 2005 à 21:53
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 20 juil. 2005 à 21:53
12 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
20 juil. 2005 à 01:31
20 juil. 2005 à 01:31
salut
ne fait pas de double post
il est tard quelqu un te l analyseras demain
ne fait pas de double post
il est tard quelqu un te l analyseras demain
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
20 juil. 2005 à 01:57
20 juil. 2005 à 01:57
tu as mis deux fois ton message
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 03:19
20 juil. 2005 à 03:19
Bonjour,
Il te faut "fixer" (cad cocher la case pour corriger) dans HijackThis toutes les lignes suivantes
O4 - HKLM\..\Run: [MS C++] msdev.exe
O4 - HKLM\..\RunServices: [MS C++] msdev.exe
O4 - HKCU\..\Run: [MS C++] msdev.exe
O4 - HKCU\..\RunServices: [MS C++] msdev.exe
Quand je vois un programme inscrit comme ici, trois ou quatre fois dans des clés Run* de la BDR, je suis prêt à mettre ma main au feu que c'est une saloperie. Une telle insistance en devient indécente et trahit la bestiole.
msdev.exe est effectivement installé par plusieurs vers
Added by the FORBOT-CR WORM!
Added by the RBOT-GJ WORM!
Added by the W32/Rbot-QY worm. This infection connects to an IRC server where it waits for remote commands.
Added by a variant of the WIN32.RBOT WORM!
Détails sur http://www.bleepingcomputer.com/startups/Cat-M.html
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueCecile.exe
Dès qu'on voit carpediem dans l'adresse, il n'y a pas d'hésitation à avoir...
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Externtelecom - Unknown owner - C:\WINDOWS\extel.exe
Voir http://www.infos-du-net.com/forum/115069-11-rootkit.agent.q
Et ici en allemand, juste pour info: http://www.informationsarchiv.net/foren/beitrag-22904.html LOL
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
Voir http://www.bleepingcomputer.com/startups/MAPI32.EXE-8935.html
Désactiver ces deux derniers service et nettoyer en même temps que extel.exe. La procédure est la même pour MAPI que pour le Rootkit.agent.q
Ceci doit être fait après avoir supprimé les fichiers temporaires, les caches des navigateurs et surtout après avoir désactiver la restauration système de Windows XP.
A suivre,
Il te faut "fixer" (cad cocher la case pour corriger) dans HijackThis toutes les lignes suivantes
O4 - HKLM\..\Run: [MS C++] msdev.exe
O4 - HKLM\..\RunServices: [MS C++] msdev.exe
O4 - HKCU\..\Run: [MS C++] msdev.exe
O4 - HKCU\..\RunServices: [MS C++] msdev.exe
Quand je vois un programme inscrit comme ici, trois ou quatre fois dans des clés Run* de la BDR, je suis prêt à mettre ma main au feu que c'est une saloperie. Une telle insistance en devient indécente et trahit la bestiole.
msdev.exe est effectivement installé par plusieurs vers
Added by the FORBOT-CR WORM!
Added by the RBOT-GJ WORM!
Added by the W32/Rbot-QY worm. This infection connects to an IRC server where it waits for remote commands.
Added by a variant of the WIN32.RBOT WORM!
Détails sur http://www.bleepingcomputer.com/startups/Cat-M.html
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueCecile.exe
Dès qu'on voit carpediem dans l'adresse, il n'y a pas d'hésitation à avoir...
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Externtelecom - Unknown owner - C:\WINDOWS\extel.exe
Voir http://www.infos-du-net.com/forum/115069-11-rootkit.agent.q
Et ici en allemand, juste pour info: http://www.informationsarchiv.net/foren/beitrag-22904.html LOL
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe
Voir http://www.bleepingcomputer.com/startups/MAPI32.EXE-8935.html
Désactiver ces deux derniers service et nettoyer en même temps que extel.exe. La procédure est la même pour MAPI que pour le Rootkit.agent.q
Ceci doit être fait après avoir supprimé les fichiers temporaires, les caches des navigateurs et surtout après avoir désactiver la restauration système de Windows XP.
A suivre,
Merci beaucoup vazkor apparament plus de trojan.gen.En outre jai quelque question.
Quel lien il y avait entre tous les fichiers que jai fixé et trojan.gen?
Jorai aimé avoir une précision sur hijackthis: à quoi correspondent les fichiers ou programme trouvés après le scan?
Comment apprendre à choisir les fichiers du scan?(site, adresse personnelle, ou toi)
Quel lien il y avait entre tous les fichiers que jai fixé et trojan.gen?
Jorai aimé avoir une précision sur hijackthis: à quoi correspondent les fichiers ou programme trouvés après le scan?
Comment apprendre à choisir les fichiers du scan?(site, adresse personnelle, ou toi)
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 06:07
20 juil. 2005 à 06:07
Bonjour,
Y a pas de quoi!
J'ai tellement analysé de logs HJT que je repère tout de suite ce qui n'est pas normal. C'est une question d'expérience et d'habitude.
"Quel lien il y avait entre tous les fichiers que jai fixé et trojan.gen?"
Trojan.gen est une terme générique attribué par les antivirus quand ils n'arrivent pas à identifier le troyen avec certitude.
Je t'ai fait fixer ce qui visiblement n'était pas normal dans le log.
Pour les lignes avec (no file) ou (file missing) c'est évident puisque ces inscriptions ne servent à rien.
"Jorai aimé avoir une précision sur hijackthis: à quoi correspondent les fichiers ou programme trouvés après le scan?"
En gros, HJT énumère toutes les manières de lancer des applications, qu'elles soient légitimes et nécessaires, inutiles ou facultatives ou toxiques.
"Comment apprendre à choisir les fichiers du scan?(site, adresse personnelle, ou toi)"
C'est une question d'habitude et d'expérience: ou bien on connaît ou bien on recherche dans des listes de démarrage et BHO/CLSID et sur Google quand on ne trouve pas.
Pour en savoir plus, va sur le site d'Assiste qui s'est spécialisé dans les problèmes de sécurité et vie privée sur Internet.
http://assiste.free.fr/p/frameset/07_hijackthis.php
Tu me retrouveras inévitablement sur les Forums, où je passe mes journées et souvent mes nuits d'insomnie.
http://assiste.forum.free.fr/
Y a pas de quoi!
J'ai tellement analysé de logs HJT que je repère tout de suite ce qui n'est pas normal. C'est une question d'expérience et d'habitude.
"Quel lien il y avait entre tous les fichiers que jai fixé et trojan.gen?"
Trojan.gen est une terme générique attribué par les antivirus quand ils n'arrivent pas à identifier le troyen avec certitude.
Je t'ai fait fixer ce qui visiblement n'était pas normal dans le log.
Pour les lignes avec (no file) ou (file missing) c'est évident puisque ces inscriptions ne servent à rien.
"Jorai aimé avoir une précision sur hijackthis: à quoi correspondent les fichiers ou programme trouvés après le scan?"
En gros, HJT énumère toutes les manières de lancer des applications, qu'elles soient légitimes et nécessaires, inutiles ou facultatives ou toxiques.
"Comment apprendre à choisir les fichiers du scan?(site, adresse personnelle, ou toi)"
C'est une question d'habitude et d'expérience: ou bien on connaît ou bien on recherche dans des listes de démarrage et BHO/CLSID et sur Google quand on ne trouve pas.
Pour en savoir plus, va sur le site d'Assiste qui s'est spécialisé dans les problèmes de sécurité et vie privée sur Internet.
http://assiste.free.fr/p/frameset/07_hijackthis.php
Tu me retrouveras inévitablement sur les Forums, où je passe mes journées et souvent mes nuits d'insomnie.
http://assiste.forum.free.fr/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 06:55
20 juil. 2005 à 06:55
Bonjour,
Non, il est utile de le faire de temps en temps pour rechercher tout ce qui peut paraître anormal au démarrage, virus, adwares, spywares , troyens mais aussi les programmes superflus qui ne font que bouffer des ressources inutilement.
A demain, façon de parler, puisque je ne me suis pas encore couché aujourd'hui. ;-)
Non, il est utile de le faire de temps en temps pour rechercher tout ce qui peut paraître anormal au démarrage, virus, adwares, spywares , troyens mais aussi les programmes superflus qui ne font que bouffer des ressources inutilement.
A demain, façon de parler, puisque je ne me suis pas encore couché aujourd'hui. ;-)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
20 juil. 2005 à 10:57
20 juil. 2005 à 10:57
salut vazkor
pourquoi tu lui fait suppr ceci
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
pourquoi tu lui fait suppr ceci
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 21:26
20 juil. 2005 à 21:26
Salut balltrap34,
Si le fichier n'existe pas ou est introuvable, l'inscription est forcément inutile.
C'est le cas des lignes (no file) et (file missing). Pourquoi cette inscription différente pour dire la même chose?
Dans ce cas-ci je pense qu'Avast a pris une giclée de plombs dans l'aile et qu'il faudra le réinstaller proprement.
J'ai suivi votre analyse avec moe31 du problème du Hijackthis qui se lançait pas (186 Msg ce matin). Chapeau!
Si le fichier n'existe pas ou est introuvable, l'inscription est forcément inutile.
C'est le cas des lignes (no file) et (file missing). Pourquoi cette inscription différente pour dire la même chose?
Dans ce cas-ci je pense qu'Avast a pris une giclée de plombs dans l'aile et qu'il faudra le réinstaller proprement.
J'ai suivi votre analyse avec moe31 du problème du Hijackthis qui se lançait pas (186 Msg ce matin). Chapeau!
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
20 juil. 2005 à 21:31
20 juil. 2005 à 21:31
vazkor salut
tu a deserte assite lol
les 09 mis en files missing sont toutes a verifie (bug hijack)
tu a deserte assite lol
les 09 mis en files missing sont toutes a verifie (bug hijack)
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 21:36
20 juil. 2005 à 21:36
Bonsoir Regis,
Oui, parce que je suis d'un naturel fainéant, je me sers souvent du robot Hijackthis.de mais seulement comme base.
Je ne le cite jamais plus parce que ce n'est pas à mettre en toutes mains.
Je parcours tout rapidement et je vérifie ce qui me semble anormal.
Je trouve en particulier l'utilisation du robot précieuse pour débusquer des Isass.exe ou des scvhost.exe qui pourraient m'échapper dans un long log, surtout à 7 heures du mat quand je n'ai plus dormi depuis des heures
Oui, parce que je suis d'un naturel fainéant, je me sers souvent du robot Hijackthis.de mais seulement comme base.
Je ne le cite jamais plus parce que ce n'est pas à mettre en toutes mains.
Je parcours tout rapidement et je vérifie ce qui me semble anormal.
Je trouve en particulier l'utilisation du robot précieuse pour débusquer des Isass.exe ou des scvhost.exe qui pourraient m'échapper dans un long log, surtout à 7 heures du mat quand je n'ai plus dormi depuis des heures
Vazkor
Messages postés
538
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
41
20 juil. 2005 à 21:45
20 juil. 2005 à 21:45
Balltrap,
J'ai pas déserté Assiste (>6300 msg, soit > 14 %). J'ai deux fenêtres Firefox ouvertes et j'y jette un oeil de temps en temps. C'est le calme plat en période de vacances avec 1860 membres inscrits.
Et nous avons une modératrice qui s'empare des logs HJT et qui ne supporte pas qu'on intervienne... Je les lui laisse donc avec plaisir et je vais m'amuser ailleurs, ici et encore sur InfoPrat.
Pour les logs HJT je me suis un peu rouillé ces derniers temps et je veux me refaire la main en douce, sans respecter le cadre rigide que l'Admin veut imposer
J'ai pas déserté Assiste (>6300 msg, soit > 14 %). J'ai deux fenêtres Firefox ouvertes et j'y jette un oeil de temps en temps. C'est le calme plat en période de vacances avec 1860 membres inscrits.
Et nous avons une modératrice qui s'empare des logs HJT et qui ne supporte pas qu'on intervienne... Je les lui laisse donc avec plaisir et je vais m'amuser ailleurs, ici et encore sur InfoPrat.
Pour les logs HJT je me suis un peu rouillé ces derniers temps et je veux me refaire la main en douce, sans respecter le cadre rigide que l'Admin veut imposer
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
20 juil. 2005 à 21:53
20 juil. 2005 à 21:53
lol c est vrai quand ont lache un peu ont se fait vite larguer
et il faut quelque temp pour si remettre
pour la modo lol j ais vu la miss n***W
et il faut quelque temp pour si remettre
pour la modo lol j ais vu la miss n***W
20 juil. 2005 à 01:44