rapport hijackthis

Je viens la manip, j'espère que c'est Ok!

Bonjour,

Voici le bloc notes de mon antivirus, c'est toujours les mêmes qui reviennent, et c'est toujours lorsque j'accède à internet:
==== log started at Sat Sep 03 20:54:19 2005


c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen


==== log ended at Sat Sep 03 22:26:40 2005




==== log started at Sat Sep 03 22:33:46 2005




==== log ended at Sat Sep 03 22:35:37 2005






==== log started at Sun Sep 04 16:16:33 2005




==== log ended at Sun Sep 04 16:24:57 2005




==== log started at Sun Sep 04 16:33:22 2005


c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen


==== log ended at Sun Sep 04 16:53:02 2005



==== log started at Sun Sep 04 18:14:53 2005




==== log ended at Sun Sep 04 20:10:27 2005
Voilà,
Merci
@+

je pensais pas que ça donnerait ça.

Edite vite ce message et supprime les adresses mail du forum.
On peut etre envahi de spam à cause de ça.

Désolé, je n'y avais même pas pensé.

Bonjour,

Je n'ai pas compris ce qu'il fallait faire.

Supprimer les adresses du Forum ???

Merci
@+

oui, clique sur ce bouton dans le message ou tu as mis le log de ton antivirus, et supprime la partie qui commence à



et qui finit à



pareil pour



jusqu'à



tu peux laisser c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen
en fin de 1ere partie

clique sur le symbole du crayon pour éditer

Je viens de faire la manip plus haut directement sur le message

Merci
@+

oui c'est bon. Il y a des robots qui collectent les adresses mail déposées sur les sites publics (forums, etc.) tout cela se termine par une invasion de spam.

Quel est ton logiciel de messagerie, et as-tu des messages avec des pièces jointes ?

Outlook 2000

J'ai quelque fois des pièces jointes que je n'ouvre jamais (je les supprime de suite d'ailleurs) sauf lorsqu'elles viennent de personnes que je connais et dont je connais la teneur du message.

Merci
@+

On peut toujours tenter ça,

Télécharge F-Secure Blacklight: http://www.f-secure.com/blacklight/try.shtml

déconnecte-toi d'internet

Double-clique sur le fichier blbeta.exe
Accepte la licence, puis vérifie que "scan through windows explorer" est bien coché.
Clique enfin sur "Scan"

Quand c'est terminé, un log sera généré dans le répertoire ou tu auras mis blbeta.exe (avec un nom de ce genre fsbl-20050905202449.log)
Poste-le.

Bonjour,

Voici le rapport de blbeta.exe :

09/07/05 19:14:21 [Info]: BlackLight Engine 1.0.23 initialized
09/07/05 19:14:21 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/07/05 19:14:21 [Note]: 4019 0
09/07/05 19:14:21 [Note]: 4019 1
09/07/05 19:14:21 [Note]: 4019 2
09/07/05 19:14:21 [Note]: 4019 3
09/07/05 19:14:21 [Note]: 4019 4
09/07/05 19:14:21 [Note]: 4005 0
09/07/05 19:14:34 [Note]: 4006 0
09/07/05 19:14:34 [Note]: 4011 1804
09/07/05 19:14:35 [Note]: FSRAW library version 1.7.1011
09/07/05 19:16:17 [Note]: 4007 0

Merci
@+

Bonsoir natsa,

rien dans ce rapport non plus.

Juste patr curiosité, peus-tu faire ceci :

démarrer/exécuter, et tu tapes :
cmd

Dans la fenetre qui s'ouvre, tapes :
netstat -abnov > sortie.txt
Cela va lister les processus/dll liés aux connexions réseau.

Ca va générer en quelques instants un log, qui s'appelera "sortie.txt".
Juste avant la commande "netstat -abnov > sortie.txt" il y aura un chemin inscrit.
Par exemple :
C:\DOCUMENTS AND SETTINGS\Nathalie
Si c'est le cas, le fichier "sortie.tct" se trouvera dans le répertoire "Nathalie"
Poste ce résultat.

----------------

Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
C:\WINDOWS\system32\pncrt.dll
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse.

----------------------

Télécharge "A² Free" http://www.emsisoft.net/fr/software/free/
lien direct http://download6.emsisoft.com/a2freesetup.exe
ou http://download2.emsisoft.com/a2freesetup.exe

Il faut s'inscrire obligatoirement mais en version free il est gratuit.
Une fois installé et mis à jour ("actualiser A² par connection internet"), tu le lances. Si possible en mode sans échec, sinon en mode normal mais sans etre connectée.

Tu me diras s'il a trouvé quelque chose.

Bonsoir,

Excuse-moi pour le délai de la réponse (j'ai eu des petits soucis perso, enfin pas grave).

J'ai fait la première manip et il n'y avait rien au niveau du résultat.

Voici la réponse de virusscan.jotti :

Service load: 0% 100%

File: pncrt.dll
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
MD5 ecb0a549db1e8ab20cd3353a148eb50d
Packers detected: UPX
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing

et pour le rapport A2Free : RAS

Par contre, j'ai toujours les même message qui apparaissent :

c:\windows\system32\i infected: Backdoor.BotGet.FtpB.Gen
ou
c:\windows\system32\tftp1896 infected: Backdoor.SDBot.EEBF6DD4
ou
c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen
ou
C:\WINDOWS\system32\TFTP1664 Infectés avec Backdoor.RBot.ABJ

Voilà
Merci

Bonsoir Natsa,

Pour le premier test que je t'avais demandé, càd aucun résultat ?

chez moi ça donne ceci, par exemple



bon j'en ai mis qu'une toute petite partie car c'est assez long.
en fait, dans la fenetre de commande, tu ne verras rien du tout. Le fichier "sortie.txt" se trouve dans le répertoire qui est au bout du chemin de ta fenetre de commande.
Quand l'analyse est lancée, tu vas voir un curseur clignoter. Quand c'est terminé, le chemin avec C:\... réapparait. Tu n'as plus qu'à récupérer le "sortie.txt"

Voilà ce que m'affiche la manip "netstat -abnov..."


Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Nathalie>netstat -abnov > sortie.txt

Affiche les statistiques du protocole et les connexions réseau TCP/IP en cours.

NETSTAT [-a] [-e] [-n] [-o] [-s] [-p proto] [-r] [intervalle]

-a Affiche toutes les connexions et les ports en écoute.
-e Affiche les statistiques Ethernet. Cette option peut être
combiné avec l'option -s.
-n Affiche les adresses et numéros de port en format numérique.
-o Affiche le processus d'identification associé à chaque connexion
.
-p proto Affiche les connexions du protocole spécifié par proto ; proto
peut être TCP ou UDP. Utilisé avec l'option -s pour afficher
les statistiques par protocole, proto peut être TCP, UDP ou IP.
-r Affiche la table de routage.
-s Affiche les statistiques par protocole. Par défaut, les
statistiques sont affichées pour TCP, UDP et IP ; l'option -p
peut être utilisée pour spécifier un seul de ces protocoles.
intervalle Affiche les statistiques sélectionnées au délai spécifié par
intervalle (en secondes). Appuyez sur Ctrl+C pour arrêter
l'affichage des statistiques. Par défaut, NETSTAT n'affiche les
informations sur la configuration qu'une seule fois.


C:\Documents and Settings\Nathalie>

Voilà
Merci

hélas ce n'est toujours pas bon.
Par contre, dans C:\Documents and Settings\Nathalie tu n'as pas un document texte nommé "sortie" ou "sortie.txt" ? c'est dans ce doc les infos.

Il faut lui laisser 5 minutes minimum pour que le rapport soit entier.

J'ai bien retrouver le fichier sortie.txt mais la page est vierge.

comme je te disais, après avoir tapé cette commande, il faut lui laisser du temps.
Compte 5 minutes chrono

Bonsoir,

J'ai eu beau faire la manip plusieurs fois mais mon rapport est toujours vierge.
Il y a quelquechose que je ne dois pas arriver à faire mais je ne sais pas quoi???
J'ai toujours les mêmes messages qui persistent.

à l'aide
@+

Salut,

dans ce cas, essaye NETSTAT -o