Hacktool.rootkit

[Nhorack]

Bonsoir à tous,

Je me présente d'abord, je m'appelle julien et je suis un povre internaute victime d'une saleté de virus qui se nommerait selon Norton anti-virus 2004 : Hacktool.rootkit. Bien sur appremment ce virus a été installé sur ma machine a l'insu de norton et depuis g un "gentil" (pour rester poli) petit fichier qui se balade dans C:\Documents and Settings\Hades du nom de msdirectx.sys.

 

Les symptome sont :

- Quand Norton ou moi-même essayont de le supprimer, il finit par réapparaitre après un certain temps. Ce qui occasionne des fenetres d'alertes anti-virus a chaque fois .

- Le deuxieme et ce qui est le plus grave est qu'apparemment ma connexion internet s'emballe et je vois le nombre d'octets transféré et recus augmenté à une vitesse incroyable comme si je download ou upload comme un fou alors que ce n'est pas le cas .

 

Voila, j'ai essayer de trouver une solution sur le forum mais soit cela ne marche pas, soit je comprends pas grand chose et meme je m'y perd un peu dans vos explications.

 

Sauriez vous m'aidez pas à pas svp? ce serait symaps de votre part.

 

Pour gagner du temps voici mon log hijackthis que je viens juste d'executer.

 

Logfile of HijackThis v1.99.1

Scan saved at 21:26:51, on 23/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

D:\Program Files\Norton AntiVirus\navapsvc.exe

D:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\soundman.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

D:\Program Files\QuickTime\qttask.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cmd.exe

D:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Hades\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=5744767

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=5744767

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [ATIPTA] d:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FF5D3C9-93AA-4924-8AD3-F17F3B065E70}: NameServer = 62.235.14.4 62.235.13.199

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

voila merci d'avance.

Julien.

[megataupe]

Bonjour Julien et bienvenue sur notre forum. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions mieux cerner ton problème :

 

 

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip )

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien :

http://minilien.com/?ZBcNwM6Om1

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'Hijackthis

 

-- créer un répertoire à la racine de C: soit C:\hijackthis et dézipper le programme précédemment téléchargé dans ce répertoire.

 

-- lancer HijackThis et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis va être enregistré dans C:\hijackthis (penser à rajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...)

 

NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) :

My Webpage

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

522499[/snapback]

[ipl_001]

Bonsoir Nhorack, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

 

---édition : bonjour megataupe !

 

Bon Nhorack, je te laisse suivre les instructions de megataupe pour un premier nettoyage et dès que tu reposteras, j'analyserai ton rapport HijackThis !

[megataupe]

Bonsoir IPL . Tu me sembles bien seul pour le nettoyage ce soir. Va falloir que j'apprenne sérieusement à chasser le cafard .

[Nhorack]

merci pour la reponse, je vais me charger de respecter vos étapes une par une.

Si vous n'avez pas de réponses de moi après ce message c'est que je suis partit reposer mes neurones (j'aime cette expression) et aussi me calmer car je suis une vrai boule de nerf depuis l'apparition de ce virus .

 

allez zou, désinfection PHASE 1 .

[ipl_001]

Bonsoir megataupe, bonsoir à tous,

 

Pas de problème ! On s'en sortira vivant ! Stonangel doit être sur PCA etr il viendra sur Zebulon un peu plus tard !

 

Je sens que tu n'es pas loin d'analyser les rapports HijackThis !

 

En tous cas, merci pour ta bonne procédure... tu fais un boulot précieux en postant cette demande !

 

Au fait lis la petite remarque que je vais mettre à ton intention dans la discussion de juan_gonzalez... laisse moi quelques minutes pour rédiger ! LOL

[Invité tesgaz]

Bonsoir IPL . Tu me sembles bien seul pour le nettoyage ce soir. Va falloir que j'apprenne sérieusement à chasser le cafard .

522968[/snapback]

 

 

salut megataupe,

 

un jour ou l'autre il faudra bien te lancer,

 

il n'y a rien de compliquer pour analiser un log hijackthis,

 

il y a 4 choses importantes dans un log

 

- ce qui est obligatoire pour faire fonctionner le systeme = rien (puisque hijackthis ne s'occupe que du reste du systeme)

- ce qui est indispensable pour faire fonctionner le systeme = un antivirus, un pare-feu, le moyen de connexion

- ce qui est superflu = ne sert à rien à part aux sociétés qui ont vendus le pc

- les malwares = néfaste

 

quand tu as trouvé les 2 premieres importantes et indispensables, tu peux supprimer le reste sans aucun soucis

on gagne du temps, et le pc devient plus efficace, finallement on gagne sur les 2 tableaux

 

megataupe, je n'ai qu'un seul mot à dire, lances toi, n'attend plus nos réponses, tes compétences personnelles sont à la hauteur d'une analyse de log hijackthis

Modifié le 23 juin 2005 par tesgaz

[megataupe]

Merci Tesgaz pour tes encouragements. En fait, lorsque l'on analyse un log à partir de ce site :

 

http://hjt.iamnotageek.com/

 

(excellent par ailleurs) l'on se rend bien compte qu'il y a peu de processus vitaux et donc indispensables au système. Je pense passer bientôt à la phase exécution car, j'aime vraiment pas la vermine.

[ipl_001]

Rebonsoir tesgaz, megataupe, rebonsoir à tous,

 

megataupe, je n'ai qu'un seul mot à dire, lances toi, n'attend plus nos réponses, tes compétences personnelles sont à la hauteur d'une analyse de log hijackthis

Je suis bien d'accord avec çà !

 

Quelques commentaires sur le post de tesgaz :

il y a 4 choses importantes dans un log

 

- ce qui est obligatoire pour faire fonctionner le systeme = rien (puisque hijackthis ne s'occupe que du reste du systeme)

- ce qui est indispensable pour faire fonctionner le systeme = un antivirus, un pare-feu, le moyen de connexion

- ce qui est superflu = ne sert à rien à part aux sociétés qui ont vendus le pc

- les malwares = néfaste

post très intéressant mais un peu simplificateur...

"ce qui est superflu" contient des sous-parties qu'il est intéressant de distinguer :

--- des logiciels de protection complémentaires mis par l'internaute et s'il les a mis, il convient de lui en expliquer le caractère inutile avant de les lui faire cocher

--- des logiciels de confort mis par le constructeur ou Microsoft pour permettre de rendre le système un peu plus user-friendly : il faut là aussi y aller sur la pointe des pieds pour trancher là dedans

--- des modules mis par les différents constructeurs (éditeurs y compris AV ou constructeurs de périphériques) dont l'utilité est douteuse... permettre à ses propres modules d'être résidents et donc, de répondre rapidement !

 

 

 

Pour ma part, je serais d'avis de nettement distinguer :

- les malwares et les bouffeurs de ressources à fixer pour la sécurité du système

 

- les éléments inutiles à ne fixer qu'en accord avec l'internaute (surtout pour la facilité d'utilisation qui est susceptible d'êtrenécessaire à certains) pour une optimisation du système.

 

Je suis bien d'accord que l'idéal est le système bien maigre et bien nerveux mais... demandé par l'internaute

 

 

 

Autre remarque : analyser un rapport HijackThis est, dans la plupart des cas, chose facile ! l'élimination des éléments infectieux est quelquefois, une autre paire de manche !

[ipl_001]

Merci Tesgaz pour tes encouragements. En fait, lorsque l'on analyse un log à partir de ce site :

 

http://hjt.iamnotageek.com/

 

(excellent par ailleurs) l'on se rend bien compte qu'il y a peu de processus vitaux et donc indispensables au système. Je pense passer bientôt à la phase exécution car, j'aime vraiment pas la vermine.

522997[/snapback]

Personnellement, je pense que le robot hijackthis.de est meilleur que celui de I'm not a Geek qui est souvent bien flou avec des "Je ne sais pas ce que c'est..." en grand nombre !

 

 

 

Il y a d'autres robots ou aides d'analyse y compris un programme téléchargeable qui recherche et signale l'absence des protections nécessaires comme le pare-feu, l'antivirus, etc.