Infection

[Sherlok]

Bonjour,

 

Suite à mon précédent post "Kerio se crashe..." (sans réponse) je me suis débrouillé tout seul pour supprimer mes spyware (en galérant pas mal !).

 

Reste encore quelques pb :

 

1) ma barre de lancement rapide reste grise au lieu d'être bleue, ce qui n'est pas normal.

 

2) J'ai aussi sous WINDOWS\system32 un exec : sc.exe (31 232 octets)

 

Je sais que :

"Cette commande permet de communiquer avec le contrôleur de services et les services installés.

Les paramètres de SC.exe peuvent permettre de configurer un service spécifique, extraire le statut courant d'un service et arrêter et lancer un service. "

 

Mais, sur le site http://callways.com/liste_process-windows.htm j'ai vu que ce pouvait être un trojan et que même si ce code était sain, il n'était pas indispensable. J'ai donc essayé de le supprimer

 

Lorsque je l'expédie à la poubelle c'est possible, mais au réaffichage suivant (page précédente, page suivante) sc.exe est toujours là !

 

Est-ce normal Dr Watson ?

Est-ce l'indice d'une contamination ?

Que faire pour s'en débarrasser ?

 

Merci pour une réponse...

[horus agressor]

Bonjour,

 

Dans un premier temps et histoire d'y voir plus clair, tu pourrais appliquer : > Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis

http://forum.zebulon.fr/index.php?showtopic=83986 , poste ensuite ton rapport HijackThis ici : > Analyse rapports HijackThis, Eradication malwares

http://forum.zebulon.fr/index.php?showforum=51 , un spécialiste te conseillera

 

Amicalement.

[Sherlok]

Merci Horus agressor pour ta réponse

 

J'ai appliqué scrupuleusement la procédure, Résultat scan AntiVir :

 

End of the scan: jeudi 10 août 2006 20:20

Used time: 1:15:39 min

 

The scan has been done completely.

 

5313 Scanning directories

261580 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2405 Archives were scanned

21 Warnings

1 Notes

 

Les 21 warnings correspondent à des fichiers :

 

C:\WINDOWS\system32\config

Data\Microsoft\Crypto\RSA\MachineKeys

Data\Microsoft\Windows\UsrClass.dat

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

\NTUSER.DAT

\NTUser.dat.LOG

 

qui ne peuvent être ouverts par AntiVir.

 

Voila le log HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:32:19, on 10/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Apoint\HidFind.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint\Apoint.exe"

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154013081687

O17 - HKLM\System\CCS\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{44ACD20B-B0C6-41BB-990B-88E6D1EEA50B}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9CCB64C-0C09-4051-AB15-D6755B819280}: NameServer = 80.118.192.100,80.118.196.35

O17 - HKLM\System\CS1\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36

O17 - HKLM\System\CS2\Services\Tcpip\..\{24039A1A-BA50-415E-84FE-0E885A2FB2D3}: NameServer = 80.118.192.100,80.118.196.36

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

Les 4 lignes 017 correspondent bien à mes IP DNS

Le 20 semble suspect ?

 

Remarque : en mode sans échec, la barre de lancement rapide reste grise.

 

Merci de tes conseils

[Sherlok]

Autre aspect currieux : je ne peux plus lancer Windows update (même directement par C:\WINDOWS\system32\wupdmgr.exe) je suis obligé de passer par l'URL du site dans IE Explorer ???

 

Que faire ???

[horus agressor]

Autre aspect currieux : je ne peux plus lancer Windows update (même directement par C:\WINDOWS\system32\wupdmgr.exe) je suis obligé de passer par l'URL du site dans IE Explorer ???

 

Que faire ???

Re,

 

* Démarrer, Exécuter, taper services.msc et vérifier que :

 

- Mises à jour automatiques

 

- Service de transfert intelligent en arrière-plan

 

- Services de cryptographie

 

soient en automatique.

 

Il faut autoriser

via le parefeu.

 

* Consulter > Windows update met un message d'erreur !, (Mise à jour le 22/07/2006) http://forum.zebulon.fr/index.php?showtopic=54129 si le

problème persiste.

 

Pour ton log HiJackThis, un membre de l'équipe Sécurité du forum s'en occupera, ils ont besoin de sommeil ce matin on dirait, il y en a même un qui traîne la patte ses derniers temps (il se reconnaîtra )

 

Amicalement.

[Sherlok]

Bon, j'ai vérifié dans les services, tout est OK pour le pare feu aussi.

Je suis allé sur le site microsoft, comme indiqué sur le forum. Rien n'y fait : le programme ne se lance pas !

(mais à partir de l'URL sur IE Explorer, ca marche)

 

Personnellement, si j'avais à écrire un trojan, je ne le ferais pas lancer lors du démarrage (trop repérable avec HijackThis). Je l'integrerais dans un programme de windows qui se lance régulièrement, comme par ex wupdmgr.exe

 

Il faudrait aussi vérifier régulièrement que le programme en question est toujours le mien, dans le cas contraire le recharger à partir d'un autre endroit où je l'aurais dupliqué sous un autre nom.

 

Enfin pour ne pas être détecté par un anti-trojan, il suffit d'intégrer le code malfaisant en plein milieu d'une routine et non pas avec un branchement au début du programme. Mais peut-être que je me trompe n'étant pas expert en sécurité, mais en algorithmique...

 

Sans tomber dans la parano, je pense que l'un ou plusieurs des exec windows ont été vérolés. Comment s'en assurer ?

 

Merci pour tes conseils

[horus agressor]

Autre aspect currieux : je ne peux plus lancer Windows update (même directement par C:\WINDOWS\system32\wupdmgr.exe) je suis obligé de passer par l'URL du site dans IE Explorer ???

 

Que faire ???

Re,

 

Bizarre cette méthode, jamais entendu parler. Une fois par mois, je sors IE du fond de mes tiroirs, configure mes Services et mon parfeu, j'effectue mes màj, je désactive les Services indispensables aux màj, je reconfigure mon parefeu et je range IE jusqu'au mois suivant.

 

Tu n'utilises qu'IE comme navigateur

 

Amicalement.

[Sherlok]

Oui, je n'utilise que IE Explorer comme navigateur sur le PC et Firefox sur un Mac.

 

J'ai aussi remarqué que

WINDOWS\system32\wingon.exe

 

se réinitialisait d'une session à l'autre même si on le supprimait ?

Evidemment tous ces exec "Microsoft" ne sont pas signés...

 

Je suis tenté de réinstaller Windows XP Pro, qu'en penses-tu ?.

 

Cordialement

[Sherlok]

Bien, bien, bien...

 

J'ai donc :

- tout nettoyé avec CCleaner, jv16PT et autres

- réinstallé Windows XP à partir du CD, ainsi que Office qui me semblait louche !

- restauré les dossiers surs à partir d'une sauvegarde sur HD externe à une date où tout marchait

- renettoyé le tout au cas où...

 

Je vais faire un achat en gros de balais brosse et de lessive St Marc !

Tout semble OK, mais ne me dit pas de quoi j'étais infecté.

 

Conclusion : en plus d'être prudent, il faut impérativement faire des sauvegardes régulières, c'est le meilleur remède contre les malwares.

 

Amicalement

[horus agressor]

Re,

 

Refait un autre log HijackThis, reposte-le. Un spécialite de l'équipe Sécurité l'analysera

Conclusion : en plus d'être prudent, il faut impérativement faire des sauvegardes régulières, c'est le meilleur remède contre les malwares.

Tu as tout compris

 

Amicalement.