rapport hijackthis suite à intrusions [résolu]

[lorenzo84]

Bonjour à tous, sur les conseils horus agressor, je me permts de publier un rapport hijackthis.

Mon problème est le suivant : depuis quelques temps, lorsque je réalise le test de sécurité sur zébulon, j'ai de nombreux ports détectés come ouverts alors qu'auparavant ils étaient tous cachés, de plus je note lorsque j'utilise tcpView pour voir quels process utilisent ma connexion, que le process "svhost.exe:996" est présent sur au moins 20 lignes.

J'ai aussi de nombreuses attaques de virus stoppées par kaspersky ces temps ci, des tentatives d'intrusions diverses.

J'utlise pourtant kerio comme parefeu...

Voila le rapport, si quelqun peut m'aider, c'est très volontiers!

 

Logfile of HijackThis v1.99.1

Scan saved at 17:58:56, on 28/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\HPQ\One-Touch\OneTouch.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ClamWin Portable\db\iportable.sup.fr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Utilitaires sur D\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [updateCP] %windir%\ClamWin Portable\db\iportable.sup.fr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Nero\NEROBA~1\NBJ.exe"

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Modifié le 3 septembre 2006 par lorenzo84

[tornado]

Bonsoir lorenzo84 et bienvenue sur le forum sécurité de zébulon,

 

 

Ton rapport ne montre pas de signes d'infection, mais Hijackthis ne détecté pas tout.

 

Pour commencer, tu vas appliquer cette procédure préliminaire, à laquelle j'ai ajouté la fermeture des ports critiques

 

 

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
   
  
• Télécharge Zebprotect et déplace-le sur le bureau
  

Phase 2

• Démarre Zebprotect en double-cliquant sur ZebProtect.exe
  • Dans la partie "Fermer les ports critiques", coche la case Tout sélectionner
    
  • Ne touche pas aux autres parties
    
  • Clique sur le bouton Appliquer
    
  • Ferme ZebProtect
    
  • Retrouve le tuto de zebprotect sur cette page
    (uniquement la partie Fermer les ports critiques
    

  [*] Redémarre le PC, impérativement en mode sans échec.

   

   

  [*]Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].

  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>

  Comment démarrer l'ordinateur en mode sans échec

   

   

  [*]A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.

   

   

  [*]Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

  -Active la case : "Afficher les fichiers et dossiers cachés"

  -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"

  -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"

  -Puis clique sur "Appliquer".

  Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

• Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses
   
  Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci :
   
   
  
• Exécute Hijackthis :
  Clique sur "Open the misc tools sections"
  Clique sur "Open uninstall Manager"
  Clique sur "Save list"
  Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.
  

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage

 

 

NB: Fais le scan de sécurité de zébulon une fosi la procédure appliquée, et indique moi les résultats (fais un copier/coller)

Modifié le 28 août 2006 par tornado

[lorenzo84]

Bonjour tornado et merci de t'intéresser à mon "problème" je vasi réaliser cla procédure et je poste les résultats dès que possible.

[lorenzo84]

Alors, voici les différents log que tu 'as demandé, en ce qui concerne antivir, il m'a détecté un truc que kaspersky été censé avoir éliminé, j'ai pas tout compris...

Pour le reste, je te laisse voir :

 

AntiVir PersonalEdition Classic

Report file date: mardi 29 août 2006 10:23

 

Scanning for 488022 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Laurent

Computer name: LAURENT

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 29/08/2006 08:17:49

AVSCAN.DLL : 7.0.0.42 53288 29/08/2006 08:17:49

LUKE.DLL : 7.0.0.42 118824 29/08/2006 08:17:50

LUKERES.DLL : 7.0.0.42 25640 29/08/2006 08:17:50

ANTIVIR0.VDF : 6.35.0.1 7371264 29/08/2006 08:17:49

ANTIVIR1.VDF : 6.35.1.122 1270784 29/08/2006 08:17:49

ANTIVIR2.VDF : 6.35.1.123 2048 29/08/2006 08:17:49

ANTIVIR3.VDF : 6.35.1.155 62976 29/08/2006 08:17:49

AVEWIN32.DLL : 7.1.1.2 1782272 29/08/2006 08:17:49

AVPREF.DLL : 7.0.0.1 49192 29/08/2006 08:17:49

AVREP.DLL : 6.35.1.124 774184 29/08/2006 08:17:49

AVRPBASE.DLL : 7.0.0.0 2162728 29/08/2006 08:17:49

AVPACK32.DLL : 7.1.0.1 335912 29/08/2006 08:17:49

AVREG.DLL : 6.31.0.90 27688 29/08/2006 08:17:49

NETNT.DLL : 6.32.0.0 6696 29/08/2006 08:17:50

NETNW.DLL : 6.32.0.0 9768 29/08/2006 08:17:50

RCIMAGE.DLL : 7.0.0.71 1642536 29/08/2006 08:17:52

RCTEXT.DLL : 7.0.0.75 77864 29/08/2006 08:17:52

 

Configuration settings for the scan:

Jobname: '%s'.................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: A,C,D,E

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 4100

Secondary action..............: 0

 

Start of the scan: mardi 29 août 2006 10:24

 

 

The scan over running processes will be started

13 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 26 files ).

 

 

Starting the file scan:

 

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

C:\pagefile.sys

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone1.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone2.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone3.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone4.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Localisationerrone5.zip

[0] Archive type: ZIP

--> sbRecovery.reg

[WARNING] The archive is encrypted

C:\Documents and Settings\All Users\Documents\setup.exe

[DETECTION] Contains suspicious code HEUR/Trojan.Downloader

[iNFO] A backup was created as '4567fa1c.qua' ( QUARANTINE )

[iNFO] The file was deleted!

C:\Documents and Settings\Laurent\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Laurent\ntuser.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Laurent\Bureau\antivir_workstation_win7u_en_h.exe

[0] Archive type: RAR SFX (self extracting)

--> unknown118

[iNFO] The archive header is damaged

[iNFO] The archive header is damaged

C:\Documents and Settings\Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Laurent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Laurent\Local Settings\Application Data\Mozilla\Firefox\Profiles\0oitn39z.nouveau profil\Cache\365AE32Bd01

[0] Archive type: RAR SFX (self extracting)

--> unknown118

[iNFO] The archive header is damaged

[iNFO] The archive header is damaged

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Program Files\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask

[0] Archive type: ZIP

--> Ad-Aware SE Default.skn

[WARNING] The archive is encrypted

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

The path E:\ could not be found!

Le périphérique n'est pas prêt.

 

Antivir

 

End of the scan: mardi 29 août 2006 10:48

Used time: 24:25 min

 

The scan has been done completely.

 

3104 Scanning directories

128616 Files were scanned

1 viruses and/or unwanted programs was found

1 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1149 Archives were scanned

26 Warnings

6 Notes

 

 

Log Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 10:54:10, on 29/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\HPQ\One-Touch\OneTouch.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ClamWin Portable\db\iportable.sup.fr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATnotes\ATnotes.exe

C:\Program Files\SuperCopier\SuperCopier.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Laurent\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [updateCP] %windir%\ClamWin Portable\db\iportable.sup.fr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Nero\NEROBA~1\NBJ.exe"

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

 

 

uninstall list

 

Ad-Aware SE Personal

Adobe Reader 7.0.7 - Français

Archiveur WinRAR

ATI Display Driver

ATnotes Version 9.5

AxCrypt (Désinstaller uniquement)

BeWAN ADSL modem

CCleaner (remove only)

CDex extraction audio

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB891781

EPSON Printer Software

Google Earth

HijackThis 1.99.1

Kaspersky Anti-Virus Personal Pro

Kerio Personal Firewall

K-Lite Mega Codec Pack 1.47

Language pack for Ad-Aware SE

L'Internet ADSL de Cegetel

Microsoft .NET Framework 2.0

Microsoft Office Professional Edition 2003

Minilyrics(remove only)

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911280)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB913433)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB916595)

Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA

Mozilla Firefox (1.5.0.6)

Mozilla Thunderbird (1.5.0.5)

Nero 6 Ultra Edition

One-Touch Buttons

PhotoFiltre

PrimoPDF

Programme de gestion Camera de Logitech®

Security Update pour Microsoft .NET Framework 2.0 (KB917283)

Sony Ericsson Themes Creator 2.41

Spybot - Search & Destroy 1.4

SpywareBlaster v3.5.1

SuperCopier

Trillian

VideoLAN VLC media player 0.8.5

Windows Media Format Runtime

Windows XP Service Pack 2

[tornado]

Re,

 

 

 

Effectivement, Antivir à supprimé un fichier ayant l'air indésirable...

 

En effet, le dossier dans lequel il est situé ... :

C:\Documents and Settings\All Users\Documents

 

... n'est pas censé existé. Est-ce toi qui l'a créé ?

 

Si ce n'est pas le cas, supprime-le et vide la corbeille

 

 

___________________________________________________________

 

Bon ... sinon, il manque une partie du log Hijackthis. Et je vois que tu n'as pas renommé Hijackthis.exe en lorenzo84.exe (certains malwares peuvent reconnaître la présence d'Hijackthis, et dissimulé sa leurs propres présences quand un log est généré), ni créé de répertoire dédié pour Hijackthis.

 

Réapplique donc la partie de la procédure suivante, afin de génrére un nouveau log :

 

• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses
  

 

____________________________________________________________________

 

Ajoute à ce nouveau rapport, ceux des 2 scans suivants :

 

* Scan Av en ligne : Panda Activescan

 

- Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

 

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

* Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le nouveau rapport Hijackthis

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

 

 

 

 

A+ et bonne chance

Modifié le 29 août 2006 par tornado

[lorenzo84]

Merci pour la rapidité de tes réponses tornado, je vais de ce pas réaliser les scans demandés et les poster sous peu.

Pour ce qui est du dossier indésirable, il est à ma grande surprise, introuvable...

Je pense qu'antivir l'a supprimé, en tous cas je ne vois pas d'autres explications!

 

 

Voici le dernier log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:07:04, on 29/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HPQ\One-Touch\OneTouch.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ClamWin Portable\db\iportable.sup.fr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier\SuperCopier.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Hijackthis\lorenzo84.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [updateCP] %windir%\ClamWin Portable\db\iportable.sup.fr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe

O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Nero\NEROBA~1\NBJ.exe"

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE57028E-468F-46A4-97B9-011A3D235BD2}: NameServer = 86.64.145.143 84.103.237.143

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

 

 

 

Je vais faire les autres scans.

Modifié le 29 août 2006 par lorenzo84

[lorenzo84]

Voila, donc après le nouveau rapport hijackthis posté plus haut, voici le rapport d'analyse de panda :

 

Incident Statut Analyse

 

Spyware:Cookie/Weborama No Désinfecté

C:\Documents and Settings\Laurent\Cookies\laurent@weborama[2].txt

 

Ainsi que celui de blacklight :

 

08/29/06 15:23:46 [info]: BlackLight Engine 1.0.46 initialized

08/29/06 15:23:46 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/29/06 15:23:47 [Note]: 7019 4

08/29/06 15:23:47 [Note]: 7005 0

08/29/06 15:24:06 [Note]: 7006 0

08/29/06 15:24:06 [Note]: 7011 1992

08/29/06 15:24:06 [Note]: 7026 0

08/29/06 15:24:07 [Note]: 7026 0

08/29/06 15:24:07 [Note]: 7015 600

08/29/06 15:24:07 [Note]: 7015 5

08/29/06 15:24:07 [Note]: 7015 1436

08/29/06 15:24:07 [Note]: 7015 5

08/29/06 15:24:11 [Note]: FSRAW library version 1.7.1019

08/29/06 15:31:20 [Note]: 7007 0

 

 

Voila, merci d'avance!

[tornado]

Re,

 

 

 

Les différents rapports n'indiquent rien d'infectieux (à part un cookie, qui réapparait au cours de ta navigation)

 

Qu'en est-il de tes disfonctionnements ? (alertes de Kaspersky)

 

 

Sinon, pourrais-tu refaire le test de sécurité de zébulon et m'indiquer son résultat? (et me faire un copier/coller du rapport si il y a encore des problèmes)

 

 

A+

Modifié le 29 août 2006 par tornado

[lorenzo84]

Re,

 

alors, pour ce qui est du test de sécurité sur zébulon, voici le résultat, il y a encore 2 ports ouverts :

 

Ports TCP ouverts

135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft

1027 N/A Port non standard

 

Ports TCP fermés

21 ftp Utilisé pour le transfert de fichier entre ordinateurs

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée

23 telnet Utilisé pour obtenir un shell distant

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

79 finger Permet de connaître diverses informations relatives à votre profil

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

1002 N/A Port non standard

1024 N/A Port réservé

1025 N/A Port non standard

1026 N/A Port non standard

1028 N/A Port non standard

1029 N/A Port non standard

1030 N/A Port non standard

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

 

Ports TCP masqués

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet

 

 

Et pour ce qui est des dysfonctionnements, je subis en continu des attaques provenant d'adresses variées du type :

 

 

 

et a chaque attaque, je constate avec tcpview, qu'un process supplémentaire utilise la connexion, il peut y en avoir des dizaines du style :

 

 

 

Du coup, j'ai l'impression qu'un truc ne va pas, surtout qu'avant, tous mes ports étaient masqués lors du test sur zeb...

 

Je songe a utliser zone alarm pro a la place de kerio.

[tornado]

Re

 

 

 

alors, pour ce qui est du test de sécurité sur zébulon, voici le résultat, il y a encore 2 ports ouverts :

 

Ports TCP ouverts

135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft

1027 N/A Port non standard

 

Ports TCP fermés

21 ftp Utilisé pour le transfert de fichier entre ordinateurs

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée

23 telnet Utilisé pour obtenir un shell distant

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

79 finger Permet de connaître diverses informations relatives à votre profil

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

1002 N/A Port non standard

1024 N/A Port réservé

1025 N/A Port non standard

1026 N/A Port non standard

1028 N/A Port non standard

1029 N/A Port non standard

1030 N/A Port non standard

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

 

Ports TCP masqués

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet

Et pour ce qui est des dysfonctionnements, je subis en continu des attaques provenant d'adresses variées du type :

 

 

et a chaque attaque, je constate avec tcpview, qu'un process supplémentaire utilise la connexion, il peut y en avoir des dizaines du style :

 

Du coup, j'ai l'impression qu'un truc ne va pas, surtout qu'avant, tous mes ports étaient masqués lors du test sur zeb...

 

Tu remarques que l'adresse de l'attaque résau est identique à celle utilisée par un processus Windows. Cela signifie qu'il y a toujours un malware qui "ouvre une porte sur ton pc" (les ports plutôt).

D'autant plus que tu dis que

 

Le port 135 y figure, je te recommande le fermer avec zebprotect. C'est celui qui reste parmi tous ceux que tu avais déjà fermé (tu ne pouvais pas le fermer car il fallait fermer tous les autres dans un premier temps). Si tu as des doutes, suis les instructions indiquées sur la capture :

 

 

Je songe a utliser zone alarm pro a la place de kerio.

 

Pour l'instant, ça ne sert à rien, le pc étant probablement encore infecté ...

 

_________________________________________________________________

 

Après avoir fermé le port 135 avec Zebprotect, fais ceci je te prie :

 

=============================================

 

Scan Silentrunners

 

- Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip

- Déconnecte-toi du net et ferme toutes les applications en cours

- Lance le fichier .vbs

- Une fenêtre s'affiche, clique sur yes

- Le scan est alors démarré, patiente quelques secondes

- Un message t'informe de la fin du scan

- Un fichier .txt est alors créé dans le même dossier que silentrunners

- Copie l'intégralité de son contenu, puis poste-le

 

 

 

Scan Spysweeper

 

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...&ac=webroot

• Clique sur "Télécharger la version test".
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Oui.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Options d'analyse.
  
• Sous A analyser, coche les options suivantes:
  • 
    
  • Analyser la mémoire
    
  • Analyser le Registre
    
  • Analyser les cookies
    
  • Analyser tous les comptes utilisateurs
    
  • Activer l'analyse directe du disque
    
  • Analyser le contenu des fichiers compressés
    
  • Analyse à la recherche de rootkits
    
  • DÉCOCHE Ne pas analyser les dossiers de restauration du système (uniquement pour Windows Me et XP).
    

  [*]Clic Analyser sur la gauche.

  [*]Clic sur Démarrer.

  [*]Quand le scan est terminé, clic sur Suivant.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Suivant.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Journal de session au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Récapitulatif, puis clic sur Terminer.

  [*]Colle le contenu du "Journal de session" dans ta prochaine réponse.

======================================================

 

En tout, 2 rapports que tu dois poster.

Ajoute-y un nouveau scan des ports avec le test de sécurité de zébulon

 

A+ et bonne chance

Modifié le 29 août 2006 par tornado