Aller au contenu


Photo
- - - - -

Troyan mIRC


  • Veuillez vous connecter pour répondre
7 réponses à ce sujet

#1 Ginowine

Ginowine

    Junior Member

  • Membres
  • 4 messages

Posté 20 décembre 2006 - 06:31

Salut à tous,

J'ai été infecté par le "virus" mIRC (je n'ai jamais utilisé ce programme). Je n'arrive pas à fermer l'application par le gestionnaire des tâches car elle n'y apparaît pas en tant que telle.
Il m'est donc impossible de suprimer le programme via le panneau de configuration car il faut au préalable fermer l'application !!!

J'ai fait un scan avec Hijackthis, et voila ce que ça me donne :

Logfile of HijackThis v1.99.1
Scan saved at 16:09:38, on 20/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton Internet Security\ISSVC.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\svchosts.exe
C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WANADOO\Toaster.exe
C:\PROGRA~1\WANADOO\Inactivity.exe
C:\PROGRA~1\WANADOO\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\softreg\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
c:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe
c:\Program Files\Norton Internet Security\ccEmFlSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Admin\Bureau\hijackthis\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
F3 - REG:win.ini: run=C:\WINDOWS\system32\softreg\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\admin\local settings\temp\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [winsys] C:\WINDOWS\system32\svchosts.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\SetPoint\SetPoint.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe


Si vous pouviez m'aider ça serait vraiment sympa. Merci d'avance... :P
  • 0

PUBLICITÉ

    Annonces Google

#2 bruce lee

bruce lee

    Devil Member !

  • Equipe Sécurité*
  • 11 373 messages

Posté 20 décembre 2006 - 06:37

bonjour Ginowine et bienvenue sur zebulon :P

analyse en cours
  • 0

#3 Ginowine

Ginowine

    Junior Member

  • Membres
  • 4 messages

Posté 20 décembre 2006 - 06:40

Vraiment rapide comme réponse !!!
Je repasserai plus tard dans la soirée car je dois partie... En tout cas merci pour votre aide !!!
  • 0

#4 bruce lee

bruce lee

    Devil Member !

  • Equipe Sécurité*
  • 11 373 messages

Posté 20 décembre 2006 - 06:43

re,

j'aimerai avoir quelqu'un info sur un dossier inconnu...


Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


Rend toi ici:

C:\WINDOWS\system32\softreg

ouvre le dossier softreg et dis moi combien tu vois de fichiers puis donne moi leurs noms (si il y en a trop donnent moi que deux ou trois noms)


2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser svchost.exe qui se trouve ici:

C:\WINDOWS\system32\softreg\svchost.exe

et post le resultat.

@+
  • 0

#5 Ginowine

Ginowine

    Junior Member

  • Membres
  • 4 messages

Posté 21 décembre 2006 - 12:45

Alors, pour commencer, le dossier softreg contient plusieurs fichiers dont :
- un fichier de commande ms dos (nommé "X"),
- des fichiers de paramètres de configuration (comme "control", "engine", "mirc", "remote",...),
- un fichier inscription dans le registre ("reg"),
- et des sous dossiers qio sont vides (comme "channel" ou "log").

Concernant l'analyse, voila ce que ça me donne :
File: svchost.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 ee3a1f8f7c3e52f8d84686577c4f4436
Packers detected: -

AntiVir Found nothing
ArcaVir Found Riskware.Client-irc.Mirc.617
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Program.mIRC.617
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus Found not-a-virus:Client-IRC.Win32.mIRC.617 (6, 2, 601)
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:Client-IRC.Win32.mIRC.617
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Voili, voilou...
  • 0

#6 bruce lee

bruce lee

    Devil Member !

  • Equipe Sécurité*
  • 11 373 messages

Posté 21 décembre 2006 - 10:07

bonjour Ginowine,

Si durant la procedure ci-dessous, il y a des etapes que tu n'as pas reussi a faire, merci de
continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.


1/Télécharge puis installe http://www.ewido.net/en/download
Une fois AVG AS lancé, clique sur Mise à jour
Ferme le programme.



2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html


3/fais:
demarer executer services.msc repere France Telecom Routing Table Service

Double clic dessus :dans le champs Statut du service met le sur arrêté
dans le champs Type de démarrage met le sur désactivé puis
Appliquer puis ok .


4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

F3 - REG:win.ini: run=C:\WINDOWS\system32\softreg\svchost.exe
O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\admin\local settings\temp\gain_trickler_3202.exe"
O4 - HKCU\..\Run: [winsys] C:\WINDOWS\system32\svchosts.exe

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked


5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


6/supprime ce qui est en gras:

C:\WINDOWS\system32\ softreg<== tout le dossier
C:\WINDOWS\system32\ svchosts.exe<== le fichier ATTENTION! ne touche surtout pas a svchost.exe


7/ rend toi ici:

c:\documents and settings\admin\local settings\temp

ouvre le dossier temp puis vide tout son contenu


8/ Relance AVG AS puis choisis l'onglet Analyse
Puis l'onglet Paramètres
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

Si un fichier est infecté détécté en fin d'analyse
Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
Enregistre ce fichier texte sur ton bureau


9/redemarre en mode normal

10/poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log hijackthis.

bon courage, et si tu as la moindre question n'hesite surtout pas :P

@+

Modifié par bruce lee, 21 décembre 2006 - 10:07 .

  • 0

#7 Ginowine

Ginowine

    Junior Member

  • Membres
  • 4 messages

Posté 22 décembre 2006 - 02:54

Salut,

J'ai parcouru un peu le web et trouver diverses solutions... Bien sûr, aucune n'a fonctionné.
J'ai donc fait une réinstall. complète de windows et tout va bien. Merci pour l'aide en tout cas !!!
  • 0

#8 bruce lee

bruce lee

    Devil Member !

  • Equipe Sécurité*
  • 11 373 messages

Posté 22 décembre 2006 - 05:26

salut,

dommage....
  • 0









Sujets similaires :     x