Invité bitonio6 Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 Salut à tous... m'est arrivé une petite mésaventure... Qui m'a tué mon antivirus, mon sypbot, les services qui permettaient les mises à jours, etc... Bon, pour dire, c'est moi le couillon qui est executé l'"EXE", donc c'est ma faute mais NOD32 ne m'a rien dit et s'est fait désactiver comme une merde! Alors sans paniquer, j'ai débrancher mon PC du net, j'ai tenté 2-3 trucs après redémarrage (pour info les redémarrages permettent au virus de se développer et de faire encore plus de saloperie, donc vaut mieux éviter) J'ai décidé de démonter mon PC, brancher le DD (sans le sortir du boitier) à un adaptateur USB et de le relier à un autre PC pour diag, et nod32 en Version 3, totalement mis à jour, etc... M'a trouvé un seul fichier, alors qu'il y en avait bien plus que ça, il n'était pas forcèment infecté, mais c'était des executant qui prenaient le contrôle de la machine, EXE, DLL, etc... voilà les jolis bébés que j'ai eu... win32 trojan-gen Win32.Agent.bgy Win32.Bagle.hi Win32.Bagle.hi Win32.Agent.bgy: [sBI $3FF5579E] Réglages (Clé du registre, nothing done) HKEY_USERS\S-1-5-21-1078081533-117609710-725345543-1003\Software\FirstRRRun Win32.Bagle.hi: [sBI $C58F5889] Service Système (Clé du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa Win32.Bagle.hi: [sBI $6A261543] Service Système (Clé du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa Donc après le scan de nod32, il en a supprimer un, EXE plein de chiffres, genre 347921084092.exe là où il se trouvait, le dossier avait été créé à la date et heure de l'attaque et contenait une bonne dizaine de truc identique, mais pas reconnu comme virus! :reflexiomo6: Ensuite, j'ai ouvert la lettre correspondant au "C" de ce DD, pour checker tous les fichiers "créer le..." il faut bien activer la ligne "date de création"... Et là 2-3 trucs encore à supprimer... Remontage du DD, démarrage = okay, j'installe nod32, je vérifie que spybot se lance... = okay Là je veux faire une mise à jour de windows et ça m'est refusé, je vais voir dans les services et ce GRRRR de virus à désactivé 3 services en rapport heureusement j'ai une photo d'écran des services à activer Maintenant mes questions: 1/ y'a t-il un outil qui check la base de registre de manière à indiquer la date et heure de création des clés? 2/ Y'a-t-il quelque part un outil permettant de lister toutes les petites DLL lancée et qui les identifies comme étant utile à windows ou parasyte...? 3/ Les meilleurs tools pour checker un PC? Merchi Lien vers le commentaire Partager sur d’autres sites More sharing options...
jack Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 1) Je ne sais pas je regarde pas trop ces trucs, par contre la restauration windows remet le registre dans sa forme ultérieure si je me souviens bien. 2) Un outil qui montre les fichiers demarrés avec Windows et un qui liste ce qui est executé en ce moment ya : - Autoruns for Windows - Process Explorer Ca va surement t'aider ... Ensuite comme bon outil ya surtout HiJackThis ... dans une moindre mesure un nettoyeur de registre et un selecteur de prog au boot type TuneUp ... Je sais pas si avec Kaspersky tu aurais eu ton blem sinon Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité bitonio6 Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 ils ont tous des soucis, y'a tellement de "up & down" dans les anti-virus... Ce que j'aurais aimé, c'est que l'antivirus une fois le virus identifié qu'il cherche les fichiers qui y sont liés... Le HiJackThis est un peu vieux, et il a tendance à noter des trucs plus réçent que lui comme étant des entrées étranges... Il y a un truc pour restaurer le système qui s'appelle "ERUNT" mais je l'ai installé sur un PC sans jamais l'avoir testé (restaurer une ancienne version du système) J'adorais le "Scanreg/restore" de windows 98SE, une merde, reboot, disquette dos, et paff, plus de souci au redémarrage! Lien vers le commentaire Partager sur d’autres sites More sharing options...
jack Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 La BD de Hijackthis est mise a jour par les users ... je vois mal comment il pourrait être vieux Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité bitonio6 Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 il va sur le net après un scan??? je l'ai pourtant téléchargé sur le site officiel, et la date est de juin 2007 il me semble! Lien vers le commentaire Partager sur d’autres sites More sharing options...
jack Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 Bah je fait un log ... je le copie sur le site de Hijackthis ... et il me donne le resultat >> Bon ou pas bon pour chaque entrée HijackThis Logfileauswertung Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité bitonio6 Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 okay, là c'est tout de suite mieux! Merci beaucoup On voit les trucs classer avec la validation totale ou partielle de chaque ligne... Là il me trouve une ligne qu'il n'aime trop O8 - Extra context menu item: Adresse De L'image - C:\WINDOWS\web\CopyImageUrl.html Lien vers le commentaire Partager sur d’autres sites More sharing options...
kira Posté(e) le 23 mars 2008 Partager Posté(e) le 23 mars 2008 Quand ta BDR vient d'être vérolée, tu peux utiliser Z.R. pour la remettre d'aplomb. ftp://zebulon.fr/Zeb-Restore.zip Pas testé sous Vista. Après pour HijackThis, le bot d'autoévaluation est efficace pour un premier défrichage. Il n'en reste pas moins qu'il vaut mieux terminer l'analyse du rapport à la main. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité bitonio6 Posté(e) le 24 mars 2008 Partager Posté(e) le 24 mars 2008 ça veut dire quoi terminer le rapport à la main? Lien vers le commentaire Partager sur d’autres sites More sharing options...
kingkill Posté(e) le 24 mars 2008 Partager Posté(e) le 24 mars 2008 ça veut dire quoi terminer le rapport à la main? Sa veut dire le faire manuellement et non automatiquement... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant