Infecté par le Ver Sasser

Restau réactivée, pour le point je le ferrais après, je fais un scan nod32 online là ;)

Merci pour tout!

Alors, mentor ou pas? :-D

Pour Flas_Disinfector c'est un FP, c'est nircmd qu'il détecte! pas un malware ça! lol

D'accord Jedi, ça roule :-D

^^Marie^^ m'a déjà aidé au début que je me suis lancé dans la désinfection sans trop rien savoir lol

J'ai recréé un point de restau car NOD32 n'a plus rien trouvé lui ;)

A+++

Je met le topik en résolu

Je te MP dès que je peux commencer

Oupssss!!! il était et est toujours à 99% je pensais qu'il allait avoir fini mais noooon

Il a trouvé des trucs :'(

Quand il est fini je met le rapport

lol

me reste 3 exos complet et j'attend qu'on corrige la fin du 4ème !

Je ne pense pas que je peux te dire quels sont les intitulés des exos.... enfin c'est pas très facile, c'est les derniers exos donc ;)

après je rentrerai dans le vif du sujet avec des tp :-D ^^

et heureusement lol

Salut Gen !!

Petite question : quel fichier sur le rapport de ton tool t'a fait pensé à Sasser? car il n'en était rien!

A++

En tout cas le scanner nod32 va très vite jusqu'à 99% puis il reste là des heures..... mais il n'est pas planté c'est déjà ça!

Ok je n'avais pas vu désolé

oui je sais j'ai toutes des vieilles versions car j'ai DL à peu près tous les fix mais heureusement je ne m'en sert que rarement!

a++

J'ai fixé les deux lignes:
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 19/06/2010 22:27:42
Fichier d'export Registre : C:\ZHPExportRegistry-19-06-2010-22-27-42.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :


Clé du Registre :


Valeur du Registre :


Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

Préférences navigateur :


Dossier :


Fichier :


Logiciel :


Script Registre :


Master Boot Record :


Autre :



Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

oui j'avais remarqué mais trop tard il supprime tout lui lol

là j'ai lancé un dr cure it! web

et j'ai fixé les deux lignes sur ZHP (que j'ai mis à jour, mon pc est une poubelle de vieux fix dépassés lol)

il me disait encore des choses pas clean si j'en croit l'interpréteur de fix qu'en pense tu toi?

j'ai stoppé l'analyse il était dans les restores toute façon et bcp de fp

http://www.cijoint.fr/cjlink.php?file=cj201006/cijeGs5FTQ.txt

bonne nuit.

juju666 - 20 jun 2010 à 03:00

Allez, au lit ! Je t'attends moi....

:D

ouaip moi aussiii !! ;)

Ok mon chou <3

qu'entend tu par "pour intérprete un tool de diag, il faut du temps, voir les outils qui aident à intérpreter les rapports, l'histoire de gagner du temps.

ceci n'empeche pas de véifier certaines données avec le site de VT, qui est en rade en ce moment, et notre ami à tous, Google :-)" mdr ;-)

Alors, qu'est ce que tu pense des rapports? :)

Oui les tools faut faire le ménage lol

J'ai essayé de supprimer les restores avec un script OTM mais il n'a pas su les virer.

Ok, je passe AD-R

A++

======= REPORT FROM AD-REMOVER | ONLY XP/VISTA/7 =======

Updated by C_XX on 17/06/10 at 18:00
Contact: AdRemover.contact@gmail.com
website: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Launched at 12:56:16 on 20/06/2010, Normal boot

Microsoft(R) Windows(R) XP Professionnel Edition x64 Service Pack 2 (X64)
Juju666, JUJU-666 (Gigabyte Technology Co., Ltd. H55M-UD2H)

============== SEARCH ==============



-- File opened: C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
Line found: user_pref("CT2664080.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Line found: user_pref("CT2664080.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT266...
Line found: user_pref("browser.search.selectedEngine", "Web Search (powered by Google)");
-- File closed --


-- File opened: C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
Line found: user_pref("CT2664080.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Line found: user_pref("CT2664080.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT266...
Line found: user_pref("browser.search.selectedEngine", "Web Search (powered by Google)");
-- File closed --


-- File opened: C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
Line found: user_pref("CT2664080.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Line found: user_pref("CT2664080.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT266...
Line found: user_pref("browser.search.selectedEngine", "Web Search (powered by Google)");
-- File closed --



============== ADDITIONNAL SCAN ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.search.selectedEngine, Web Search (powered by Google)
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.search.selectedEngine, Web Search (powered by Google)
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.search.selectedEngine, Web Search (powered by Google)
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 2 File(s)
C:\Program Files (x86)\Ad-Remover\Backup: 2 File(s)

C:\Ad-Report-SCAN[1].txt - 20/06/2010 (492 Byte(s))

End at: 12:57:28, 20/06/2010

============== E.O.F ==============

======= REPORT FROM AD-REMOVER | ONLY XP/VISTA/7 =======

Updated by C_XX on 17/06/10 at 18:00
Contact: AdRemover.contact@gmail.com
website: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 13:07:19 on 20/06/2010, Normal boot

Microsoft(R) Windows(R) XP Professionnel Edition x64 Service Pack 2 (X64)
Juju666, JUJU-666 (Gigabyte Technology Co., Ltd. H55M-UD2H)

============== ACTION(S) ==============



(!) -- Temporary files deleted.


-- File opened: C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
Line deleted: user_pref("CT2664080.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Line deleted: user_pref("CT2664080.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT266...
Line deleted: user_pref("browser.search.selectedEngine", "Web Search (powered by Google)");
-- File closed --



============== ADDITIONNAL SCAN ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

-- C:\Documents and Settings\Administrator\Application Data\Mozilla\FireFox\Profiles\jmo3r4q3.default\Prefs.js --
browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://search.toolbars.alexa.com/?ver=spkyf-1.4.9&src=ab&aid=C8h4c1nd4w00oc&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 2 File(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 File(s)

C:\Ad-Report-CLEAN[1].txt - 20/06/2010 (496 Byte(s))
C:\Ad-Report-SCAN[1].txt - 20/06/2010 (4683 Byte(s))

End at: 13:07:51, 20/06/2010

============== E.O.F ==============


pour le tdss, j'ai du le virer sur un pc d'un ami.... brrrr il fait froid dans le dos lui.

J'ai du demander un script CF. Parce que les scripts je préfère ne pas en faire :o)

Hey Jedi, mais il a été lancé en mode Clean ;-)

Ok, je vire les tools, je te refais quand même un ZHP Diag :p


Pour les scripts, j'ai pigé les scripts OTM, mais bon.... les plus simples, style:

:processes
explorer.exe

:services
HWIONT
ar1iqk1x


:files
C:\autorun.inf
C:\WINDOWS\system32\drivers\ar1iqk1x.sys
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf
H:\autorun.inf

:commands
[emptytemp]
[purity]
[start explorer]


C'est déjà bien hein? :D mdr comment je me donne du courage ^^




Bon je crois que c'est pas fini :(

Lors du scan ZHP le résident MBAM est venu, pas l'air content:

C:\WINDOWS\system32\drivers\beep.sys
(Fake.Beep.sys)

C:\WINDOWS\system32\drivers\cdrom.sys
(Trojan.Patched) -> oh non pas ça je viens de les étudiés :(

C:\WINDOWS\system32\drivers\modem.sys
(Trojan.Patched)

J'ai tout mis en quarantaine, je vais les envoyer sur VT (bah ils sont plus en quarantaine ni dans le dossier :s)

Nouveau ZHP: http://www.cijoint.fr/cjlink.php?file=cj201006/cijXha8P3a.txt

Voici le rapport MBAM (à mon avis il a stressé pour rien!)

11:05:51 Juju666 MESSAGE Protection started successfully
12:22:22 Juju666 MESSAGE Protection started successfully
13:10:02 Juju666 MESSAGE Protection started successfully
15:03:31 Juju666 MESSAGE Protection started successfully
20:42:20 Juju666 DETECTION C:\WINDOWS\system32\drivers\beep.sys Fake.Beep.sys QUARANTINE
20:42:20 Juju666 DETECTION C:\WINDOWS\system32\drivers\beep.sys Fake.Beep.sys DENY
20:42:20 Juju666 DETECTION C:\WINDOWS\system32\drivers\beep.sys Fake.Beep.sys DENY
20:42:20 Juju666 DETECTION C:\WINDOWS\system32\drivers\beep.sys Fake.Beep.sys DENY
20:42:21 Juju666 ERROR Quarantine failed: UtilityReadFile failed with error code 2
20:43:04 Juju666 DETECTION C:\WINDOWS\system32\drivers\cdrom.sys Trojan.Patched QUARANTINE
20:43:04 Juju666 DETECTION C:\WINDOWS\system32\drivers\cdrom.sys Trojan.Patched DENY
20:43:04 Juju666 DETECTION C:\WINDOWS\system32\drivers\cdrom.sys Trojan.Patched DENY
20:43:04 Juju666 DETECTION C:\WINDOWS\system32\drivers\cdrom.sys Trojan.Patched DENY
20:43:05 Juju666 ERROR Quarantine failed: UtilityReadFile failed with error code 2
20:43:18 Juju666 DETECTION C:\WINDOWS\system32\drivers\modem.sys Trojan.Patched QUARANTINE
20:43:18 Juju666 DETECTION C:\WINDOWS\system32\drivers\modem.sys Trojan.Patched DENY
20:43:18 Juju666 DETECTION C:\WINDOWS\system32\drivers\modem.sys Trojan.Patched DENY
20:43:18 Juju666 DETECTION C:\WINDOWS\system32\drivers\modem.sys Trojan.Patched DENY
20:43:19 Juju666 ERROR Quarantine failed: UtilityReadFile failed with error code 2

Oui je connais ce site :-D c'est génial, pas besoin de se casser la tête à chercher tous les changelog ;)

on y a travaillé dessus pendant 3 mois avant son lancement :-)
mais maintenant, le site est à Taurus et Darpoet, ils font la mise en place des choses :-)

bon, j'ai términé ici,
on discutera en mp.

bonne soirée :-)

ok merci

je met le sujet en résolu

bonne soirée

;-)