[Virus/Spyware) CmdService
TomK
-
TomK -
TomK -
Bonjour, apres de long et fastidieux nettoyages du PC j'ai viré beaucoup de malware mais l'un d'eux resiste encore et toujours : CmdService (et peut-etre d'autres qui m'auraient echappé)
J'ai regardé beaucoup de thread à ce sujet mais aucun ne correspond vraiment à mon cas donc je lance mon propre thread :)
Je run avg anti-spam, ad-aware, spybot et tout le toutim (smitfrauxfix, BFU, killbox etc.)
Voici le log HJT :
Logfile of HijackThis v1.99.1
Scan saved at 11:15:45, on 23/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Aurélien.TBI.000\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Domain Helper - {B8A5DE1C-BC13-4DD2-BF00-7BE3C603F9F2} - C:\WINDOWS\system32\DomainHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://serveur/connectcomputer/nshelp.dll
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://tbi-be.dynip.com/Remote/msrdp.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ActiveXperts Network Monitor (AxsNmSvc) - Unknown owner - C:\Program Files\ActiveXperts\Network Monitor\AxsNmSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Voila voila, merci d'avance. C'est mon PC professionnel et toutes ces merdes me pénalisent franchement xD
J'ai regardé beaucoup de thread à ce sujet mais aucun ne correspond vraiment à mon cas donc je lance mon propre thread :)
Je run avg anti-spam, ad-aware, spybot et tout le toutim (smitfrauxfix, BFU, killbox etc.)
Voici le log HJT :
Logfile of HijackThis v1.99.1
Scan saved at 11:15:45, on 23/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Aurélien.TBI.000\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Domain Helper - {B8A5DE1C-BC13-4DD2-BF00-7BE3C603F9F2} - C:\WINDOWS\system32\DomainHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://serveur/connectcomputer/nshelp.dll
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://tbi-be.dynip.com/Remote/msrdp.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ActiveXperts Network Monitor (AxsNmSvc) - Unknown owner - C:\Program Files\ActiveXperts\Network Monitor\AxsNmSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Voila voila, merci d'avance. C'est mon PC professionnel et toutes ces merdes me pénalisent franchement xD
A voir également:
- [Virus/Spyware) CmdService
- Virus mcafee - Accueil - Piratage
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Virus facebook demande d'amis - Accueil - Facebook
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
31 réponses
Bonjour,
Avant d'aller dans le registre "à la main",
relances Smitfraud fix en mode normal. Mets le à jour (option 4);
Puis exécutes le (option 1).
Poste le log en réponse.
Ensuite, sauvegarde du registre.
Un lien pour un utilitaire de sauvegarde (merci Rumbacampus) :
http://telechargement.zebulon.fr/202-erunt.html
Tu le télécharges et tu l'exécutes.
@+
PS Tu n'as pas eu de messages lors de l'exécution de fichier.reg ?
Tu peux préciser le nom que tu lui as donné et vérifier son contenu ?
Merci.
Avant d'aller dans le registre "à la main",
relances Smitfraud fix en mode normal. Mets le à jour (option 4);
Puis exécutes le (option 1).
Poste le log en réponse.
Ensuite, sauvegarde du registre.
Un lien pour un utilitaire de sauvegarde (merci Rumbacampus) :
http://telechargement.zebulon.fr/202-erunt.html
Tu le télécharges et tu l'exécutes.
@+
PS Tu n'as pas eu de messages lors de l'exécution de fichier.reg ?
Tu peux préciser le nom que tu lui as donné et vérifier son contenu ?
Merci.
Salut, voici le log de Smitfraud-fix :
SmitFraudFix v2.125
Rapport fait à 13:28:44,14, 28/11/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIE~1.000\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Pour ce qui est du bureau.reg, aucun souci de ce côté-là.
J'avais déjà essayé de bidouiller les clé de registres de CmdService, mais elles sont en accès interdit donc je n'arrives pas à les supprimer...
Tu te doutes bien que si j'en suis arrivé à poster ici c'est que j'ai tout essayé ou presque :)
SmitFraudFix v2.125
Rapport fait à 13:28:44,14, 28/11/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIE~1.000\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Pour ce qui est du bureau.reg, aucun souci de ce côté-là.
J'avais déjà essayé de bidouiller les clé de registres de CmdService, mais elles sont en accès interdit donc je n'arrives pas à les supprimer...
Tu te doutes bien que si j'en suis arrivé à poster ici c'est que j'ai tout essayé ou presque :)
Re,
OK, excuse moi, il n'est pas toujours évident d'avoir la juste idée de ce que le demandeur sait faire ou non.
Avant d'aller chercher l'artillerie lourde pour détruire ces clés, deux choses encore :
- essayer via regedit en sans échec (si tu n'as pas déjà essayé).
-voir si elles ne sont pas protégées par un rootkit.
Pour ce dernier point, télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Tu as un tuto ici (merci Malekal ):
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Effectue le scan, sauve le rapport et post le en réponse. Ne fais pas la phase 2.
Si tout ceci ne donne rien, j'aurai besoin de connaître les tentatives que tu as fait (tu évoques dans le post initial BFU, killbox, ...). Pas la peine de les reproposer à ce stade.
J'aurai aussi besoin d'un peu de temps (rien avant ce soir, peut être demain soir).
@+
OK, excuse moi, il n'est pas toujours évident d'avoir la juste idée de ce que le demandeur sait faire ou non.
Avant d'aller chercher l'artillerie lourde pour détruire ces clés, deux choses encore :
- essayer via regedit en sans échec (si tu n'as pas déjà essayé).
-voir si elles ne sont pas protégées par un rootkit.
Pour ce dernier point, télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Tu as un tuto ici (merci Malekal ):
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Effectue le scan, sauve le rapport et post le en réponse. Ne fais pas la phase 2.
Si tout ceci ne donne rien, j'aurai besoin de connaître les tentatives que tu as fait (tu évoques dans le post initial BFU, killbox, ...). Pas la peine de les reproposer à ce stade.
J'aurai aussi besoin d'un peu de temps (rien avant ce soir, peut être demain soir).
@+
Salut,
Je viens de refaire un coup de Blacklight et il ne trouve rien.
Je testerai un regedt32 en safe mode demain matin.
Je viens de refaire un coup de Blacklight et il ne trouve rien.
Je testerai un regedt32 en safe mode demain matin.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir,
Regedt32 ou regedit ?
Regarde aussi les autorisations sur ces clés :
quand tu a déployé l'arborescence et que tu es sur la clé, Clic droit et autorisations.
Parmi les possibilités, modifier ces autorisations de manière à te permettre de les supprimmer ou utiliser la session "administrateur" du mode sans échec. Il faut une session qui ait 'contrôle total'. Cela peut passer par "paramètres avancés" pour modifier les droits.
@ demain.
Regedt32 ou regedit ?
Regarde aussi les autorisations sur ces clés :
quand tu a déployé l'arborescence et que tu es sur la clé, Clic droit et autorisations.
Parmi les possibilités, modifier ces autorisations de manière à te permettre de les supprimmer ou utiliser la session "administrateur" du mode sans échec. Il faut une session qui ait 'contrôle total'. Cela peut passer par "paramètres avancés" pour modifier les droits.
@ demain.
Bonjour,
Je n'arrive pas à croire que je n'y avait pas pensé...
En faisant right-click sur les clés je me suis rendu compte que les droits n'étaient pas définis :/ Je me log pourtant avec une session admin, c'est bizarre...
Bref, après une mise en contrôle total j'ai pu détruire les clés de Cmdservice.
Scan Spybot S&D : rien
Reboot
Re-scan Spybot S&D : rien
Problême résolu ?
Je n'arrive pas à croire que je n'y avait pas pensé...
En faisant right-click sur les clés je me suis rendu compte que les droits n'étaient pas définis :/ Je me log pourtant avec une session admin, c'est bizarre...
Bref, après une mise en contrôle total j'ai pu détruire les clés de Cmdservice.
Scan Spybot S&D : rien
Reboot
Re-scan Spybot S&D : rien
Problême résolu ?
Bonjour,
J'aurais aussi pu y penser plus tôt.
Que les droits sur ces clés soient bizarres est 'normal'. C'est une caractéristique de malware que de créer une configuration qui rend plus difficile son éradication.
Le log hjt est clean.
Visiblement tous tes symptômes ont disparu.
On se laisse 2 à 3 jours pour clôre définitivement le post.
Entre temps, tu jettes les utilitaires spécialisés (BFU, HijackThis, killbox). Les versions changent. Comme ils ne sont pas d'utilisation fréquente, autant les télécharger à chaque fois
Tu gardes Ccleaner, Spybot, AVG As, Adaware que tu mets à jour et fais passer de temps en temps pour nettoyer. La vaccination de Spybot est aussi une bonne chose.
En résumé, Nous 1 Malwares 0. Fin du match. On attend les éventuelles réclamations du perdant, on lave les maillots, on passe à la douche, on se congratule, on jette l'entraineur dans la piscine, enfin toutes ces sortes de choses. Lol.
@+
J'aurais aussi pu y penser plus tôt.
Que les droits sur ces clés soient bizarres est 'normal'. C'est une caractéristique de malware que de créer une configuration qui rend plus difficile son éradication.
Le log hjt est clean.
Visiblement tous tes symptômes ont disparu.
On se laisse 2 à 3 jours pour clôre définitivement le post.
Entre temps, tu jettes les utilitaires spécialisés (BFU, HijackThis, killbox). Les versions changent. Comme ils ne sont pas d'utilisation fréquente, autant les télécharger à chaque fois
Tu gardes Ccleaner, Spybot, AVG As, Adaware que tu mets à jour et fais passer de temps en temps pour nettoyer. La vaccination de Spybot est aussi une bonne chose.
En résumé, Nous 1 Malwares 0. Fin du match. On attend les éventuelles réclamations du perdant, on lave les maillots, on passe à la douche, on se congratule, on jette l'entraineur dans la piscine, enfin toutes ces sortes de choses. Lol.
@+
Bonjour,
Merci Al,
Mais Tomk a bien bossé aussi. Comme il le dit au post 2 "j'ai tout effectué dans l'ordre, ni + ni -. Ca facilite beaucoup.
Et je n'oublie pas l'aide de l'Entraide.
@+
Merci Al,
Mais Tomk a bien bossé aussi. Comme il le dit au post 2 "j'ai tout effectué dans l'ordre, ni + ni -. Ca facilite beaucoup.
Et je n'oublie pas l'aide de l'Entraide.
@+
Oui merci beaucoup Lyonnais :)
En effet on va attendre 2-3 jours à tout hasard mais ca devrait aller.
Pour ce qui est des droits j'avais en effet supposé (à juste titre) que c'etait un des parasites qui les avait modifiés.
Donc voilà, un cas d'école de mise à mort de parasite :)
Merci encore à notre cher intervenant Lyonnais et espérons que ce thread servira à d'autres infortunés :)
En effet on va attendre 2-3 jours à tout hasard mais ca devrait aller.
Pour ce qui est des droits j'avais en effet supposé (à juste titre) que c'etait un des parasites qui les avait modifiés.
Donc voilà, un cas d'école de mise à mort de parasite :)
Merci encore à notre cher intervenant Lyonnais et espérons que ce thread servira à d'autres infortunés :)
