Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Ven 29 Mar 2024 - 06:18

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 9 messages ] 
Auteur Message
 Sujet du message: W32/Sdbot-AAY
MessagePublié: Mar 4 Sep 2007 - 23:46 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
hello,comme l'indique le titre,voici ce qui semble se trouver dans ma petite becane..
ma mere ayant eu des soucis suite a un dossier 'zipé' recu,je lui ai demandé de me l'envoyer pour en savoir un peu plus!
fsecure l'a de suite reconnu comme etant la bete ci dessus,alias:
"Backdoor.Win32.SdBot.aad"...
j'ai effectué une desinstalle illico,suivi d'un coup de karcher en mode coriace,mais lors de ma connection msn,il m'a indiqué qu'il y avait un dossier dans mon fichier "host" qui posait probleme pour la connection :?:
j'ai effectué un nouveau nettoyage avec dossier non caché,ainsi que des recherches dans le fichier host ainsi que dans le systeme32,mais a 1ere vue il n'y a rien.
suis je en securité ou y a-t-il une manip que vous me suggerrez??

merci beaucoup

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 06:18 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Hello fred.
:D
Pour être rassuré fait ce qui suit.

=>Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

.

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 10:03 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
tres bien,je vais faire cela apres le travail..merci
je pense pouvoir l'envoyer a ma mere aussi,qui devrait avoir une belle tribu cachée dans ses dossiers.

merci

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 18:18 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
voici le resultat!!!cela semble propre...n'est ce pas??


SDFix: Version 1.102

Run by fred et vanessa on 05/09/2007 at 19:14

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\FREDET~1\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure 2006"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Documents and Settings\fred et vanessa\Local Settings\Application Data\Microsoft\Messenger\fredortu@msn.com\Sharing Folders\redeyes992@hotmail.com\Thumbs.db
C:\Documents and Settings\fred et vanessa\Local Settings\Application Data\Microsoft\Messenger\fredortu@msn.com\Sharing Folders\seb_enzo_italia@hotmail.fr\seb.turkie\Thumbs.db
C:\WINDOWS\system32\wxmmin.dll

Finished

pour info,chez ma mere,le resultat est identique!!!(elle a aussi utilisé "MSNFix")

merci beaucoup

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 5 Sep 2007 - 20:58 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
si tu peux afficher tes fichiers et dossiers cachés et scanner ce fichier chez virus total je ne trouve rien dessus probablement un reste.
http://www.virustotal.com/fr/

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 13:22 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
bonjour,merci de la reponse!!
tu me dit que cela semble propre...me voila rassuré,par contre,je ne comprend pas bien le dossier a faire analyser chez virustotal???

desoles d'etre toujours aussi percutant :oops:

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Jeu 6 Sep 2007 - 18:07 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:lol:
Excuse je n'ai pas mentionné le fichier...
C:\WINDOWS\system32\wxmmin.dll
:wink:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Ven 7 Sep 2007 - 15:45 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
coucou,je viens d'effectuer la manip,mais il semblerait qu'il est fait une pause trop longue...donc je leur ai envoyé le dossier via le mail..;'ajttend les resultats.. 8)

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Lun 10 Sep 2007 - 14:20 
Hors-ligne
Champion
Champion
Avatar de l’utilisateur

Inscrit le: Sam 4 Fév 2006 - 14:33
Messages: 578
coucou,voici donc le resultat de la recherche : :arrow:

Complete scanning result of "wxmmin.dll", processed in VirusTotal at 09/07/2007 17:02:46 (CET).

[ file data ]
* name: wxmmin.dll
* size: 9
* md5.: 69d59ed5a7b473747ef08b33b2b2cda2
* sha1: 3205d7b56f214a9f501cc6f1b23ea7dcc6ef80b3

[ scan result ]
AhnLab-V3 2007.9.8.0/20070907 found nothing
AntiVir 7.6.0.5/20070907 found nothing
Authentium 4.93.8/20070907 found nothing
Avast 4.7.1029.0/20070906 found nothing
AVG 7.5.0.485/20070906 found nothing
BitDefender 7.2/20070907 found nothing
CAT-QuickHeal 9.00/20070907 found nothing
ClamAV 0.91.2/20070907 found nothing
DrWeb 4.33/20070907 found nothing
eSafe 7.0.15.0/20070904 found nothing
eTrust-Vet 31.1.5117/20070907 found nothing
Ewido 4.0/20070907 found nothing
F-Prot 4.3.2.48/20070907 found nothing
F-Secure 6.70.13030.0/20070907 found nothing
FileAdvisor 1/20070907 found nothing
Fortinet 3.11.0.0/20070906 found nothing
Ikarus T3.1.1.12/20070907 found nothing
Kaspersky 4.0.2.24/20070907 found nothing
McAfee 5114/20070906 found nothing
Microsoft 1.2803/20070907 found nothing
NOD32v2 2513/20070907 found nothing
Norman 5.80.02/20070907 found nothing
Panda 9.0.0.4/20070907 found nothing
Prevx1 V2/20070907 found nothing
Rising 19.39.42.00/20070907 found nothing
Sophos 4.21.0/20070907 found nothing
Sunbelt 2.2.907.0/20070907 found nothing
Symantec 10/20070907 found nothing
TheHacker 6.1.9.180/20070907 found nothing
VBA32 3.12.2.4/20070907 found nothing
VirusBuster 4.3.26:9/20070907 found nothing
Webwasher-Gateway 6.0.1/20070907 found nothing

je crois pouvoir dire que c'est une bonne nouvelle,non?? 8)

_________________
A COEUR VAILLANT,RIEN D'IMPOSSIBLE!!Image


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 9 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr