Warning: Cannot modify header information - headers already sent by (output started at /mnt/102/sda/1/f/izsecurite/forum-2/forum.php:2) in /mnt/102/sda/1/f/izsecurite/forum-2/forum.php on line 183

Warning: Cannot modify header information - headers already sent by (output started at /mnt/102/sda/1/f/izsecurite/forum-2/forum.php:2) in /mnt/102/sda/1/f/izsecurite/forum-2/forum.php on line 237
Abc de la sécurité informatique <> Forum sécurité informatique freeware libre antivirus anti-spyware firewall Forums Abc de la sécurité informatique- abcdelasecurite.free.fr
Vous êtes sur l'ancien forum du site Abc de la sécurité informatique :
Le nouveau forum est maintenant à l'adresse suivante:
>> http://abcdelasecurite.free.fr/forum-abc-de-la-securite/

Forums Abc de la sécurité informatique- abcdelasecurite.free.fr - > virus, antivirus, troyen, anti-troyen, hoax sheep team, graphisme, programmation, codes source, blog, article, partage, ftp, humour, divertissement

 11 connectés mais aucun membre
Forums - Chat - Topics - Membres - Smileys - FAQ
Anonyme - Se logger - S'inscrire - Menu à gauche, à droite

« Topic Précédent
à l'aide !		Topic Suivant »
win32/hidrag
Chris75$
Chris75
08/02 :: 19:10

Invité



J'ai attrapé netsky.p qui génère tous les jours des fichiers infecté sur mon ordi.

J'ai norton à jour et antivir mais rien n'y fait.

J'ai téléchargé le patch sur symantec et j'ai fait les manip proposé par symantec sans succés.

J'ai fait des scan en ligne auprès de 2 anti virus, pour eux mon ordi est clean, mais hélas de nouveaux fichiers infecté revienne sans cesse.

Netsky utilise mon répertoire pour ce diffuser et wanadoo me menace de couper la ligne ! ! ! !

A L'aide ! !
Merci d'avance

Christian
papicool16$2004015
papicool16
08/02 :: 19:21

Arrivant



Salut, tu tape netsky-p, dans la barre de recherche du forum en haut à droite,
tu coche le rond de forum d'abc de la sécurite, et tu clique rechercher.
La soluce s'y trouve.

@++
Chris75$
Chris75
09/02 :: 09:15

Invité



Merci papicool, je vois cela aujourd'hui en espérant que ca marche !
westernshadow$2004081
westernshadow
09/02 :: 13:26

Arrivante



Avec Netsky, (Si ce dernier est exécuté, le virus s'envoie aux adresses présentes dans le carnet d'adresses Windows et divers autres fichiers du disque, puis se copie dans les dossiers partagés/Secuser.com) tu dois spammer à mort tout tes correspondants, pour ça que Wanadoo veut te couper la connex

1) Windows update
2) applications du patch anti-netsky
3) scan antivirus à jour, pour vérif (pas Norton 2002/2003 etc...!!!)


4) Quand tu as fini tout ça /Fait un log hijackthis pour vérifier tes process
http://www.spywareinfo.com/~merijn/

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer Scan Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici

@+
Chris75$
Chris75
09/02 :: 14:43

Invité



A ce jour j'ai suivi les conseil de papicool :

- Désactiver la restauration système
- Rédémarer en mode sans échec
- spyboth puis ad aware puis antivir (le tout à jour)

Résutat rien y fait, cela continu

Je passe donc maintenant au conseil de westernchadow:

J'ai fait les 3 premières étapes, sans succés. je vais donc passer maintenant à la 4ème.....

A+
Rodolphe$2004309
Rodolphe
09/02 :: 14:48

Arrivant



Salut!
Quand tu dis "rien n' y fait"...
Est-ce que tu veux dire que tes logiciels ne te détectent rien ou qu' ils ne veulent pas te supprimer ce qu' ils te découvrent?
S' ils ne veulent pas te supprimer le bazar, note bien l' emplacement des fichiers concernés et essaye de les supprimer manuellement (et toujours en mode sans échec et resto système désactivée!).
@+
Chris75$
Chris75
09/02 :: 14:54

Invité



pour répondre à Rodolphe, antivir détecte les fichier infectés et les supprime, je pense alors que mon ordi et clean mais quelques heures plus tard cela recommence, de nouveaux fichiers apparaissent.

J'ai fais la 4ème étape proposé par westernshadow, voici le résultat :

Logfile of HijackThis v1.99.0
Scan saved at 14:48:27, on 09/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Olitec RNIS\ccmon.exe
C:\Program Files\Easytax\Tttr.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HW\hw.exe
C:\HW\hwalerte.exe
C:\Program Files\AVPersonal\AVWIN.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell.ca/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Program Files\Olitec RNIS\ccmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tache d'acquisition easytax .lnk = C:\Program Files\Easytax\Tttr.exe
O4 - Global Startup: updater.lnk = C:\Program Files\Common Files\updater\wupdater.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Dice Derby by pogo - http://game4.pogo.com/applet-5.9.2.38/checkeredflag/checkeredflag-ob-assets.cab
O16 - DPF: Texas Hold'em Poker by pogo - http://game4.pogo.com/applet-5.8.6.20/holdem/holdem-ob-assets.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Christian\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-D5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://abcdelasecurite.free.fr/scan/Msie/bitdefender.cab
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O23 - Service: 3Com DMI Agent - 3Com Corporation - C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Merci pour vos conseils

A+
westernshadow$2004081
westernshadow
09/02 » 15:28

Arrivante




à fixer/ Pour une entrée 04/ faire : 1) ctrl/alt/supp : arrête ce processus et 2) tu repasses sur le log et tu fixes

O4 - Global Startup: updater.lnk = C:\Program Files\Common Files\updater\wupdater.exe<-- TrojanDownloader.Win32.Keenval
http://www.liutilities.com/products/wintaskspro/processlibrary/wupdater/

O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Christian\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx <-- drole d'activX / tu as 1 "bidule" dans tes Temp - si tu connais pas fixe (aucune répercussion grave à cocher un activX)
O16 - DPF: Dice Derby by pogo - http$://game4.pogo.com/applet-5.9.2.38/checkeredflag/checkeredflag-ob-assets.cab
O16 - DPF: Texas Hold'em Poker by pogo - http$://game4.pogo.com/applet-5.8.6.20/holdem/holdem-ob-assets.cab
(les games.truc idem ça fait du ménage)

A mon avis, que tu ais eu ou pas Netsky, pas de traces de Netsky dans le log ; mais un de tes correspondants dans ton carnet d'adresses est fort probablement à son tour infecté, te spamme et ainsi de suite - Installe un anti-spam pour arrêter le cercle infernal

Logithèque d' ABC
Anti-spams
et Arobase itou
Arobase Infos

Log Hijack :
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
westernshadow$2004081
westernshadow
09/02 :: 15:57

Arrivante



Citation

antivir détecte les fichier infectés et les supprime, je pense alors que mon ordi et clean mais quelques heures plus tard cela recommence, de nouveaux fichiers apparaissent


Si le phénomène se reproduisait fait un nouveau log Hijack à ce moment là et recolles le rapport - tu te rappelles des noms des fichiers régénérés par hasard? Dans tous les cas n'ouvrent plus tes mails sans les scanner auparavant, Netsky envoie des messages qui ressemblent a des alertes d'éditeurs antivirus notamment (un vrai faux-derche ) (voir sur Secuser le type de mails possibles)
stin07bis$2004001
stin07bis
10/02 :: 00:19

Arrivant



C:\Program Files\Easytax\Tttr.exe.........?????
O4 - Global Startup: Tache d'acquisition easytax .lnk = C:\Program Files\Easytax\Tttr.exe
ceux d'en haut, si tu les connais pas...à supprimer

le 04 d'en bas à supprimer.....

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
pour le startup voir sur ce site....;

http://www.pestpatrol.com/PestInfo/p/powerreg_scheduler.asp
O4 - Startup: PowerReg Scheduler.exe

@+
stin07bis$2004001
stin07bis
10/02 :: 00:31

Arrivant



encore oubliez celui-ci....

O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)


http://www.sophos.fr/virusinfo/analyses/trojsmallfw.html

suit bien les liens de westernshadow.....puis regarde aussi ce que j'ai mentionné...
@+
chris75$
chris75
12/02 :: 14:28

Invité



Merci à westernshadow et à stin07bis pour leur réponse.

Quand vous dite fixer cela veut dire supprimer ?

Le nom des fichiers infectés sont du genre : britneysears.sexe.exe

Par contre je crois avoir peut etre trouvé une explication.

Antivir a une fois repéré des fichiers infectés du genre " A000256" dans un répertoire dénommé "fichiers information system" (je crois) et dans un sous répertoire "restaur", j'ai essayé de retrouver ce répertoire sans succés même en faisant une recherche des fichiers cachés. Je ne peut donc vérifier s'il reste des fichiers infectés dans ce dossier.

Ce répertoire peutil être lié à SP 2 ?

Merci pour vos conseils et vos compétences qui me sont bien utiles.

A+
Rodolphe$2004309
Rodolphe
12/02 :: 14:40

Arrivant



Pour le "Fix", oui, tu coches ces lignes dans HijackThis et tu cliques sur "Fix". HijackThis te supprimera alors les lignes sélectionnées.
Pour les fichiers et dossiers que tu ne parviens pas à trouver, prends le soin de d' abord tout afficher:
Poste de travail > Panneau de configuration > Option des dossiers > Affichage > Coche "Afficher les fichiers et dossiers cachés" et décoche "Masquer les fichiers protégés du système d' exploitation".
laserpe$2003349
laserpe
12/02 :: 18:45

Arrivant



Provient du message de chris75

dans un répertoire dénommé "fichiers information system" (je crois) et dans un sous répertoire "restaur"


ça serait pas plutôt dans System volume information/restore ? si c'est le cas c'est dans la restau automatique
@+
« Topic Précédent
à l'aide !		Retour forumTopic Suivant »
win32/hidrag
 Forum en lecture seule

Da NobodX Forum :: V 3.14159 customized Abc de la sécurité informatique- abcdelasecurite.free.fr

Visiteurs depuis
le 22/02/2001