Virus, nettoyage base de registre, etc...

23/03/2008, 12h14

Salut à tous...

m'est arrivé une petite mésaventure...

Qui m'a tué mon antivirus, mon sypbot, les services qui permettaient les mises à jours, etc...

Bon, pour dire, c'est moi le couillon qui est executé l'"EXE", donc c'est ma faute

mais NOD32 ne m'a rien dit et s'est fait désactiver comme une merde!

Alors sans paniquer, j'ai débrancher mon PC du net, j'ai tenté 2-3 trucs après redémarrage
(pour info les redémarrages permettent au virus de se développer et de faire encore plus de saloperie, donc vaut mieux éviter)

J'ai décidé de démonter mon PC, brancher le DD (sans le sortir du boitier) à un adaptateur USB et de le relier à un autre PC pour diag, et nod32 en Version 3, totalement mis à jour, etc...

M'a trouvé un seul fichier, alors qu'il y en avait bien plus que ça, il n'était pas forcèment infecté, mais c'était des executant qui prenaient le contrôle de la machine, EXE, DLL, etc...

voilà les jolis bébés que j'ai eu...

Citation:

win32 trojan-gen
Win32.Agent.bgy
Win32.Bagle.hi
Win32.Bagle.hi

Win32.Agent.bgy: [SBI $3FF5579E] Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1078081533-117609710-725345543-1003\Software\FirstRRRun
Win32.Bagle.hi: [SBI $C58F5889] Service Système (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
Win32.Bagle.hi: [SBI $6A261543] Service Système (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa

Donc après le scan de nod32, il en a supprimer un, EXE plein de chiffres, genre 347921084092.exe

là où il se trouvait, le dossier avait été créé à la date et heure de l'attaque et contenait une bonne dizaine de truc identique, mais pas reconnu comme virus! :reflexiomo6:

Ensuite, j'ai ouvert la lettre correspondant au "C" de ce DD, pour checker tous les fichiers "créer le..."

il faut bien activer la ligne "date de création"...

Et là 2-3 trucs encore à supprimer...

Remontage du DD, démarrage = okay, j'installe nod32, je vérifie que spybot se lance... = okay

Là je veux faire une mise à jour de windows et ça m'est refusé,
je vais voir dans les services et ce GRRRR de virus à désactivé 3 services en rapport

heureusement j'ai une photo d'écran des services à activer

Maintenant mes questions:

1/ y'a t-il un outil qui check la base de registre de manière à indiquer la date et heure de création des clés?

2/ Y'a-t-il quelque part un outil permettant de lister toutes les petites DLL lancée et qui les identifies comme étant utile à windows ou parasyte...?

3/ Les meilleurs tools pour checker un PC?

Merchi

jack · 23/03/2008, 13h22

1) Je ne sais pas je regarde pas trop ces trucs, par contre la restauration windows remet le registre dans sa forme ultérieure si je me souviens bien.

2) Un outil qui montre les fichiers demarrés avec Windows et un qui liste ce qui est executé en ce moment ya :
- Autoruns for Windows
- Process Explorer

Ca va surement t'aider ...

Ensuite comme bon outil ya surtout HiJackThis ... dans une moindre mesure un nettoyeur de registre et un selecteur de prog au boot type TuneUp ...

Je sais pas si avec Kaspersky tu aurais eu ton blem sinon

23/03/2008, 13h33

ils ont tous des soucis, y'a tellement de "up & down" dans les anti-virus...

Ce que j'aurais aimé, c'est que l'antivirus une fois le virus identifié qu'il cherche les fichiers qui y sont liés...

Le HiJackThis est un peu vieux, et il a tendance à noter des trucs plus réçent que lui comme étant des entrées étranges...

Il y a un truc pour restaurer le système qui s'appelle "ERUNT" mais je l'ai installé sur un PC sans jamais l'avoir testé (restaurer une ancienne version du système)

J'adorais le "Scanreg/restore" de windows 98SE, une merde, reboot, disquette dos, et paff, plus de souci au redémarrage!

jack · 23/03/2008, 13h39

La BD de Hijackthis est mise a jour par les users ... je vois mal comment il pourrait être vieux

23/03/2008, 13h42

il va sur le net après un scan???

je l'ai pourtant téléchargé sur le site officiel, et la date est de juin 2007 il me semble!

jack · 23/03/2008, 13h47

Bah je fait un log ... je le copie sur le site de Hijackthis ... et il me donne le resultat >> Bon ou pas bon pour chaque entrée

HijackThis Logfileauswertung

23/03/2008, 16h24

okay, là c'est tout de suite mieux!

Merci beaucoup

On voit les trucs classer avec la validation totale ou partielle de chaque ligne...

Là il me trouve une ligne qu'il n'aime trop

O8 - Extra context menu item: Adresse De L'image - C:\WINDOWS\web\CopyImageUrl.html

kira · 23/03/2008, 22h47

Quand ta BDR vient d'être vérolée, tu peux utiliser Z.R. pour la remettre d'aplomb.
ftp://zebulon.fr/Zeb-Restore.zip
Pas testé sous Vista.
Après pour HijackThis, le bot d'autoévaluation est efficace pour un premier défrichage. Il n'en reste pas moins qu'il vaut mieux terminer l'analyse du rapport à la main.

24/03/2008, 02h49

ça veut dire quoi terminer le rapport à la main?

kingkill · 24/03/2008, 10h14

Citation:

Envoyé par bitonio6

ça veut dire quoi terminer le rapport à la main?

Sa veut dire le faire manuellement et non automatiquement...