forum Abc de la sécurité informatique

AsianChick · 02-08-2005 00:59:58

Bonjour,

Voici mon dernier scan, et je voudrais me débarasser du dernier élément (je trouve régulierement un rootkit 32 machin chose comme malware qui revient toujours).

Que faire ?

Jai ad-aware, microsoft anti spyware, a squared, un antivirus, et ca revient toujours.

HELLLLLP:D

A l'instant je viens de decouvrir en plus RBOT WORM. Ouais ! super !

Logfile of HijackThis v1.99.1
Scan saved at 00:53:00, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\win-logon.exe
C:\WINDOWS\System32\wuamkops.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [Active Shield] C:\Program Files\Security Stronghold\Active Shield\ActiveShield.exe
O4 - HKLM\..\Run: [Microsoft Windows Update Logon] win-logon.exe
O4 - HKLM\..\Run: [Microsoft Updates] wuamkops.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [Microsoft Windows Update Logon] win-logon.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wuamkops.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{72E2334B-04EC-4E11-B30D-4B3B74B44C57}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exe

Surcouf · 02-08-2005 02:17:48

Salut,
Ton log est incomplet. Avant de fixer quoique ce soit, installe HJT dans un dossier qui lui est consacré à la racine de c: :
C:\Hijackthis\Hijackthis.exe
Evites de scanner avec ce logiciel quand tu es connecté.
Peux-tu aussi nous dire où tu en es ? Qu'as-tu fait, qu'as tu détecté, avec quel outil...

Voici pour commencer :

Préalable à toute intervention efficace :
- posséder un parefeu (autre que celui de windows), un antivirus, adaware SE, Spybot S&D, un nettoyeur de base de registre, Hijackthis et autres logiciels de sécurité que l'on jugera utile (voir en zone téléchargement),
- mettre windows et tout ses logiciels de sécurité à jour,
- faire un bon nettoyage de pc
- supprimer les fichiers des répertoires TEMP, TEMPORARY INTERNET FILES (ou le cache internet pour autre que IE), prefetch (excepté layout.ini),
- vider la corbeille,
- effacer l'historique,
- supprimer les cookies,
- désactiver la restauration système,
- passer en mode sans échec (redémarrer et appuyer à répétition sur la touche F8 jusqu'à un écran noir qui propose plusieurs options, sélectionner mode sans échec)
- scanner et virer le virus avec ses logiciels de sécurité,
- nettoyer la base de registre,
- redémarrer en mode normal et, si le problème a disparu, réactiver la restauration système...

@+

Edit :
Tout ceci est plus que suspect :
C:\WINDOWS\System32\wuamkops.exe
O4 - HKLM\..\Run: [Microsoft Updates] wuamkops.exe

C:\WINDOWS\System32\win-logon.exe
(ce n'est pas winlogon, à ne pas confondre, tu supprimes celui-là mais surtout pas winlogon sans le tiret !!!)

à supprimer en mode sans échec et restau désactivée :
C:\WINDOWS\System32\wuamkops.exe
C:\WINDOWS\System32\win-logon.exe

à fixer en mode sans échec et restau désactivée :
O4 - HKLM\..\Run: [Microsoft Updates] wuamkops.exe

Cette ligne que tu as mise en gras est en effet plus que suspecte, mais je n'ai aucune info sur elle... : fixe à tes risques et périls, ou attend un spécialiste... :
O23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exe

Visite également ce lien
ainsi que ces trois là...
Apparemment, le(s) virus que tu as se propage particulièrement via msn et le P2P et est un trojan...

Vues les saloperies que tu as sur seulement 8 lignes de log, je te conseilles d'en poster un plus complet si tu veux que notre aide soit plus efficace...

Dernière modification par Surcouf (02-08-2005 02:40:01)

AsianChick · 02-08-2005 10:14:38

merci. j'te poste ça s't'aprem:D

AsianChick · 02-08-2005 13:09:29

J'arrive pas a l'installer ou tu me dit

westernshadow · 02-08-2005 13:44:13

Au moment d'enregistrer Hijack, il faut ouvrir "C" et ensuite "nouveau dossier" : C:\HijackThis

http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm <-- comment enregistrer Hijack

- Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée
- Récupérer ce log/texte avec le bloc-notes
- Le copier/coller ici

Dernière modification par westernshadow (02-08-2005 13:52:39)

AsianChick · 02-08-2005 18:13:35

Voilou jai suivi toutes tes instructions et ca m'a donné ça. Alors c'est grave docteur ?

Logfile of HijackThis v1.99.1
Scan saved at 18:11:13, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\234567.exe
C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.info-lutte.com
O4 - HKLM\..\Run: [Active Shield] C:\Program Files\Security Stronghold\Active Shield\ActiveShield.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [wupdate32] c:\234567.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{72E2334B-04EC-4E11-B30D-4B3B74B44C57}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exe

Louny · 02-08-2005 21:23:49

O4 - HKLM\..\Run: [wupdate32] c:\234567.exe
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe
O23 - Service: UDP Sub Packet Classifier (UDPSPC) - Unknown owner - C:\WINDOWS\msudpspc.exe

????????????????????????????

format C et réinstaller tout proprement...

et arrêter de cliquer sur tout et n'importe quoi !!

Dernière modification par Louny (02-08-2005 21:25:21)

AsianChick · 02-08-2005 23:26:48

je ne clique sur rien. Je ne passe qu'un quart d'heure par jour sur un seul site ! (sauf aujourdhui ou j'appelle a l'aide)

Surcouf · 02-08-2005 23:30:24

Tu peux fixer les lignes de Louny si tune veux vraiment pas formater... Mais Louny est une spé, si elle te dit formate, c'est que ton disque est vraiment salopé ! (à vrai dire je l'ai jamais vu dire de formater...) Peut-être qu'en postant un log complet on pourra t'aider à nettoyer tout ça, mais elle est parmi les spécialistes du forum... Sinon tu peux essayer ici, mais c'est pas aussi fin qu'une analyse perso... @+

Dernière modification par Surcouf (02-08-2005 23:32:58)

JokuHech · 03-08-2005 11:56:48

Eh bien.. Pour un petit 1/4 heure/jour; tu as pas mal de cochonneries en place... Suis le conseil de Louny, et réinstalle tout ça.

=> [wupdate32] c:\234567.exe ?? ça vient d'où ça à ton avis ?? si c'est pas toi qui a installé ou cliqué sur la pub, c'est que c'est qqun d'autre, auquel cas tu ne sais pas ce qu'on fait avec ton poste... Et ça ne vient pas de Microsoft !! Idem pour rofl.exe