A voir également:
- [Virus/Spyware) CmdService
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
31 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
28 nov. 2006 à 11:51
28 nov. 2006 à 11:51
Bonjour,
Avant d'aller dans le registre "à la main",
relances Smitfraud fix en mode normal. Mets le à jour (option 4);
Puis exécutes le (option 1).
Poste le log en réponse.
Ensuite, sauvegarde du registre.
Un lien pour un utilitaire de sauvegarde (merci Rumbacampus) :
http://telechargement.zebulon.fr/202-erunt.html
Tu le télécharges et tu l'exécutes.
@+
PS Tu n'as pas eu de messages lors de l'exécution de fichier.reg ?
Tu peux préciser le nom que tu lui as donné et vérifier son contenu ?
Merci.
Avant d'aller dans le registre "à la main",
relances Smitfraud fix en mode normal. Mets le à jour (option 4);
Puis exécutes le (option 1).
Poste le log en réponse.
Ensuite, sauvegarde du registre.
Un lien pour un utilitaire de sauvegarde (merci Rumbacampus) :
http://telechargement.zebulon.fr/202-erunt.html
Tu le télécharges et tu l'exécutes.
@+
PS Tu n'as pas eu de messages lors de l'exécution de fichier.reg ?
Tu peux préciser le nom que tu lui as donné et vérifier son contenu ?
Merci.
Salut, voici le log de Smitfraud-fix :
SmitFraudFix v2.125
Rapport fait à 13:28:44,14, 28/11/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIE~1.000\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Pour ce qui est du bureau.reg, aucun souci de ce côté-là.
J'avais déjà essayé de bidouiller les clé de registres de CmdService, mais elles sont en accès interdit donc je n'arrives pas à les supprimer...
Tu te doutes bien que si j'en suis arrivé à poster ici c'est que j'ai tout essayé ou presque :)
SmitFraudFix v2.125
Rapport fait à 13:28:44,14, 28/11/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aur‚lien.TBI.000\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AURLIE~1.000\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Pour ce qui est du bureau.reg, aucun souci de ce côté-là.
J'avais déjà essayé de bidouiller les clé de registres de CmdService, mais elles sont en accès interdit donc je n'arrives pas à les supprimer...
Tu te doutes bien que si j'en suis arrivé à poster ici c'est que j'ai tout essayé ou presque :)
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
28 nov. 2006 à 13:50
28 nov. 2006 à 13:50
Re,
OK, excuse moi, il n'est pas toujours évident d'avoir la juste idée de ce que le demandeur sait faire ou non.
Avant d'aller chercher l'artillerie lourde pour détruire ces clés, deux choses encore :
- essayer via regedit en sans échec (si tu n'as pas déjà essayé).
-voir si elles ne sont pas protégées par un rootkit.
Pour ce dernier point, télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Tu as un tuto ici (merci Malekal ):
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Effectue le scan, sauve le rapport et post le en réponse. Ne fais pas la phase 2.
Si tout ceci ne donne rien, j'aurai besoin de connaître les tentatives que tu as fait (tu évoques dans le post initial BFU, killbox, ...). Pas la peine de les reproposer à ce stade.
J'aurai aussi besoin d'un peu de temps (rien avant ce soir, peut être demain soir).
@+
OK, excuse moi, il n'est pas toujours évident d'avoir la juste idée de ce que le demandeur sait faire ou non.
Avant d'aller chercher l'artillerie lourde pour détruire ces clés, deux choses encore :
- essayer via regedit en sans échec (si tu n'as pas déjà essayé).
-voir si elles ne sont pas protégées par un rootkit.
Pour ce dernier point, télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Tu as un tuto ici (merci Malekal ):
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Effectue le scan, sauve le rapport et post le en réponse. Ne fais pas la phase 2.
Si tout ceci ne donne rien, j'aurai besoin de connaître les tentatives que tu as fait (tu évoques dans le post initial BFU, killbox, ...). Pas la peine de les reproposer à ce stade.
J'aurai aussi besoin d'un peu de temps (rien avant ce soir, peut être demain soir).
@+
Salut,
Je viens de refaire un coup de Blacklight et il ne trouve rien.
Je testerai un regedt32 en safe mode demain matin.
Je viens de refaire un coup de Blacklight et il ne trouve rien.
Je testerai un regedt32 en safe mode demain matin.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
28 nov. 2006 à 17:03
28 nov. 2006 à 17:03
Bonsoir,
Regedt32 ou regedit ?
Regarde aussi les autorisations sur ces clés :
quand tu a déployé l'arborescence et que tu es sur la clé, Clic droit et autorisations.
Parmi les possibilités, modifier ces autorisations de manière à te permettre de les supprimmer ou utiliser la session "administrateur" du mode sans échec. Il faut une session qui ait 'contrôle total'. Cela peut passer par "paramètres avancés" pour modifier les droits.
@ demain.
Regedt32 ou regedit ?
Regarde aussi les autorisations sur ces clés :
quand tu a déployé l'arborescence et que tu es sur la clé, Clic droit et autorisations.
Parmi les possibilités, modifier ces autorisations de manière à te permettre de les supprimmer ou utiliser la session "administrateur" du mode sans échec. Il faut une session qui ait 'contrôle total'. Cela peut passer par "paramètres avancés" pour modifier les droits.
@ demain.
Bonjour,
Je n'arrive pas à croire que je n'y avait pas pensé...
En faisant right-click sur les clés je me suis rendu compte que les droits n'étaient pas définis :/ Je me log pourtant avec une session admin, c'est bizarre...
Bref, après une mise en contrôle total j'ai pu détruire les clés de Cmdservice.
Scan Spybot S&D : rien
Reboot
Re-scan Spybot S&D : rien
Problême résolu ?
Je n'arrive pas à croire que je n'y avait pas pensé...
En faisant right-click sur les clés je me suis rendu compte que les droits n'étaient pas définis :/ Je me log pourtant avec une session admin, c'est bizarre...
Bref, après une mise en contrôle total j'ai pu détruire les clés de Cmdservice.
Scan Spybot S&D : rien
Reboot
Re-scan Spybot S&D : rien
Problême résolu ?
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
29 nov. 2006 à 11:25
29 nov. 2006 à 11:25
Bonjour,
J'aurais aussi pu y penser plus tôt.
Que les droits sur ces clés soient bizarres est 'normal'. C'est une caractéristique de malware que de créer une configuration qui rend plus difficile son éradication.
Le log hjt est clean.
Visiblement tous tes symptômes ont disparu.
On se laisse 2 à 3 jours pour clôre définitivement le post.
Entre temps, tu jettes les utilitaires spécialisés (BFU, HijackThis, killbox). Les versions changent. Comme ils ne sont pas d'utilisation fréquente, autant les télécharger à chaque fois
Tu gardes Ccleaner, Spybot, AVG As, Adaware que tu mets à jour et fais passer de temps en temps pour nettoyer. La vaccination de Spybot est aussi une bonne chose.
En résumé, Nous 1 Malwares 0. Fin du match. On attend les éventuelles réclamations du perdant, on lave les maillots, on passe à la douche, on se congratule, on jette l'entraineur dans la piscine, enfin toutes ces sortes de choses. Lol.
@+
J'aurais aussi pu y penser plus tôt.
Que les droits sur ces clés soient bizarres est 'normal'. C'est une caractéristique de malware que de créer une configuration qui rend plus difficile son éradication.
Le log hjt est clean.
Visiblement tous tes symptômes ont disparu.
On se laisse 2 à 3 jours pour clôre définitivement le post.
Entre temps, tu jettes les utilitaires spécialisés (BFU, HijackThis, killbox). Les versions changent. Comme ils ne sont pas d'utilisation fréquente, autant les télécharger à chaque fois
Tu gardes Ccleaner, Spybot, AVG As, Adaware que tu mets à jour et fais passer de temps en temps pour nettoyer. La vaccination de Spybot est aussi une bonne chose.
En résumé, Nous 1 Malwares 0. Fin du match. On attend les éventuelles réclamations du perdant, on lave les maillots, on passe à la douche, on se congratule, on jette l'entraineur dans la piscine, enfin toutes ces sortes de choses. Lol.
@+
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
29 nov. 2006 à 12:04
29 nov. 2006 à 12:04
Salut à vous deux
Beau topic Lyonnais
Félicitations
Al.
Beau topic Lyonnais
Félicitations
Al.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
29 nov. 2006 à 12:24
29 nov. 2006 à 12:24
Bonjour,
Merci Al,
Mais Tomk a bien bossé aussi. Comme il le dit au post 2 "j'ai tout effectué dans l'ordre, ni + ni -. Ca facilite beaucoup.
Et je n'oublie pas l'aide de l'Entraide.
@+
Merci Al,
Mais Tomk a bien bossé aussi. Comme il le dit au post 2 "j'ai tout effectué dans l'ordre, ni + ni -. Ca facilite beaucoup.
Et je n'oublie pas l'aide de l'Entraide.
@+
afideg
Messages postés
10516
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
600
29 nov. 2006 à 12:36
29 nov. 2006 à 12:36
Re,
« Et je n'oublie pas l'aide de l'Entraide »
Message reçu Lol . ;)
à+..
Al.
« Et je n'oublie pas l'aide de l'Entraide »
Message reçu Lol . ;)
à+..
Al.
Oui merci beaucoup Lyonnais :)
En effet on va attendre 2-3 jours à tout hasard mais ca devrait aller.
Pour ce qui est des droits j'avais en effet supposé (à juste titre) que c'etait un des parasites qui les avait modifiés.
Donc voilà, un cas d'école de mise à mort de parasite :)
Merci encore à notre cher intervenant Lyonnais et espérons que ce thread servira à d'autres infortunés :)
En effet on va attendre 2-3 jours à tout hasard mais ca devrait aller.
Pour ce qui est des droits j'avais en effet supposé (à juste titre) que c'etait un des parasites qui les avait modifiés.
Donc voilà, un cas d'école de mise à mort de parasite :)
Merci encore à notre cher intervenant Lyonnais et espérons que ce thread servira à d'autres infortunés :)