Analyse rapport HijackThis pour trojan

[krol]

Bonjour, voilà j'ai un méchant trojan sur mon ordi. Personnellement je n'y connais rien en informatique, alors j'ai suivi vos instructions et j'espère que vous pourrez m'aider. J'ai aussi constaté que mes fichiers internet temporaires se multiplient de manière exponentielle. Et Antivir a éliminé deux Trojan : Trojan horse TR/PoeBot.AR et Trojan horse TR/Rootkit.L. Voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:04:11, on 5/09/2006

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sia.ucl.ac.be:888

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINNT\System32\sfg_22ec.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: (no name) - {9149E5A7-A1CE-43D0-9F00-74DF1AEAB2F8} - (no file)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [sBHC] C:\Program Files\SuperBar\sbhc.exe

O4 - HKLM\..\Run: [iSAK] C:\WINNT\ISAK.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [qjafkl] C:\WINNT\qjafkl.exe

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINNT\System32\sfg_22ec.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINNT\System32\sfg_22ec.dll"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)

[Angeldark]

Bonjour et bienvenue sur Zébulon

Je m'occupe de ton rapport, patiente...

[Angeldark]

Re,

 

As-tu encore le rapport AntiVir ?

 

La procédure est longue et en partie en mode sans échec,

imprime ou mets dans un fichier texte les instructions.

Les manipulations sont à faire sans interruption et dans l'ordre.

Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

 

Télécharge:

 

Ccleaner

Installe le dans un répertoire dédié.

Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! Ccleaner"

Aide sur Ccleaner de Rub_Mic

 

Ewido

Installe Ewido puis mets le à jour en cliquant sur " Update Now ".

Aide sur Ewido de Rub_Mic

 

Redémarre en mode sans échec

 

Désinstalle si possible via :

-> Démarrer

-> Panneau de Configuration

-> Ajout/Suppression de Programmes :

MyWay

SafeGuard Protect PCShield

 

Ferme TOUS les fenêtres ouvertes (sauf Hijackthis)

et les logiciels de protection en temps réel (antivirus...)

 

- Lance Hijackthis ->Do a system scan only

->Coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sia.ucl.ac.be:888

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINNT\System32\sfg_22ec.dll

O3 - Toolbar: (no name) - {9149E5A7-A1CE-43D0-9F00-74DF1AEAB2F8} - (no file)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINNT\System32\sfg_22ec.dll"

O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINNT\System32\sfg_22ec.dll"

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINNT\lsass.exe (file missing)

 

Clique sur Fix checked (en bas à gauche)

 

----------

-> Démarrer

-> Exécuter...

Tape Services.msc puis valide

Double clique sur " Local Security Authority Subsystem Service "

Type de démarrage : " Désactiver "

Clique en bas sur " Arrêter "

Valide les changements.

-----

Ouvre Hijackthis puis:

-> Open the Misc Tools Section

-> Delete an NT Service

Tape " lsass " puis valide.

----------

- Assure toi d'avoir accès aux dossiers/fichiers cachés

-> Démarrer

-> Panneau de configuration

-> Options des Dossiers, onglet Affichage :

. Clique sur Afficher les dossiers cachés

. Décoche Masquer les extensions des fichiers dont le type est connu

. Décoche Masquer les fichiers protégés du système d'exploitation

 

- Suppime ces fichiers et/ou dossiers s'ils existent encore :

 

C:\Program Files\MyWay\<- le dossier

C:\WINNT\System32\sfg_22ec.dl

C:\WINNT\web\related.htm

C:\WINNT\lsass.exe NE SUPPRIME PAS CELUI DANS LE SYSTEM32

 

- Lance un nettoyage Ccleaner :

Clique sur le bouton "Analyse" puis "Lancer le Néttoyage"

 

- Relance Ewido puis choisis l'onglet " Scanner "

Fais un " Complete System Scan "

/!\ Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse /!\

Clique sur " Save Report " puis sur " Save Report As "

Enregistre le fichier texte généré sur ton bureau.

 

Redémarre normalement.

 

- Ouvre le rapport d'Ewido puis copie/colle son contenu ici.

 

- Poste un nouveau rapport Hijackthis.

[krol]

Bonjour et avant tout merci beaucoup de perdre votre temps à vous occuper de néophytes paumées dans un grand ordinateur cruel comme moi !

 

Le rapport d'antivir que j'ai toujours disait ceci :

 

 

AntiVir PersonalEdition Classic

Report file date: mardi 5 septembre 2006 02:30

 

Scanning for 493460 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows 2000

Windows version: (Service Pack 2) [5.0.2195]

Username: Administrateur

Computer name: USER

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 15/02/2006 15:12:25

AVSCAN.DLL : 7.0.0.42 53288 15/02/2006 15:12:25

LUKE.DLL : 7.0.0.42 118824 15/02/2006 15:12:25

LUKERES.DLL : 7.0.0.42 25640 15/02/2006 15:12:25

ANTIVIR0.VDF : 6.35.0.1 7371264 15/02/2006 15:12:24

ANTIVIR1.VDF : 6.35.1.122 1270784 15/02/2006 15:12:24

ANTIVIR2.VDF : 6.35.1.175 144896 15/02/2006 15:12:24

ANTIVIR3.VDF : 6.35.1.177 5632 15/02/2006 15:12:24

AVEWIN32.DLL : 7.1.1.11 1827328 15/02/2006 15:12:24

AVPREF.DLL : 7.0.0.1 49192 15/02/2006 15:12:25

AVREP.DLL : 6.35.1.124 774184 15/02/2006 15:12:25

AVRPBASE.DLL : 7.0.0.0 2162728 04/05/2006 16:34:20

AVPACK32.DLL : 7.1.0.1 335912 15/02/2006 15:12:25

AVREG.DLL : 6.31.0.90 27688 15/02/2006 15:12:25

NETNT.DLL : 6.32.0.0 6696 15/02/2006 15:12:25

NETNW.DLL : 6.32.0.0 9768 15/02/2006 15:12:26

RCIMAGE.DLL : 7.0.0.71 1642536 15/02/2006 15:12:26

RCTEXT.DLL : 7.0.0.75 77864 15/02/2006 15:12:26

 

Configuration settings for the scan:

Jobname: '%s'.................: Local Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Boot sectors..................: C,A,D

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: mardi 5 septembre 2006 02:30

 

 

The scan over running processes will be started

12 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

 

Starting to scan the registry.

C:\WINNT\system32\P2P Networking\P2P Networking.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was deleted!

C:\WINNT\system32\P2P Networking\P2P Networking.exe

[DETECTION] Contains suspicious code HEUR/Malware

 

The registry was scanned ( 16 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Administrateur\Mes documents\Brol qui traîne sur le bureau\wwp_demo.exe

[WARNING] The file could not be opened!

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\FABRJH3S\i[1].exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was deleted!

C:\Program Files\Kazaa\CloudLoad.dat

[DETECTION] Is the Trojan horse TR/PoeBot.AR

[iNFO] The file was deleted!

C:\WINNT\lsass.exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was deleted!

C:\WINNT\system32\rdriv.sys

[DETECTION] Is the Trojan horse TR/Rootkit.L

[iNFO] The file was deleted!

C:\WINNT\system32\config\default

[WARNING] The file could not be opened!

C:\WINNT\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINNT\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINNT\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINNT\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINNT\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINNT\system32\config\software

[WARNING] The file could not be opened!

C:\WINNT\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINNT\system32\config\system

[WARNING] The file could not be opened!

C:\WINNT\system32\config\SYSTEM.ALT

[WARNING] The file could not be opened!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mardi 5 septembre 2006 03:35

Used time: 1:04:59 min

 

The scan has been done completely.

 

1431 Scanning directories

194805 Files were scanned

5 viruses and/or unwanted programs was found

5 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

10010 Archives were scanned

16 Warnings

1 Notes

 

Pour le reste, j'ai tenté de suivre les instructions à la lettre, mais je n'ai pas pu faire tourner ewido, qui fonctionnait quand je l'ai installé mais qui foirait complètement pour une raison inconnue quand j'ai tenté de le faire tourner à nouveau à la fin de la procédure. Si d'aventure la question est de savoir s'il y a des spywares, spybot dit que non.

 

Voici le nouveau rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:09:13, on 8/09/2006

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINNT\loadqm.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [sBHC] C:\Program Files\SuperBar\sbhc.exe

O4 - HKLM\..\Run: [iSAK] C:\WINNT\ISAK.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [qjafkl] C:\WINNT\qjafkl.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

Et pour finir, mes fichiers internet temporaires ont cessé de se multiplier de façon incongrue. Je suppose que c'est bon signe ?

 

Merci beaucoup,

Krol

[Angeldark]

Re,

 

Ce n'est pas fini

 

Quelques doutes...

 

Va sur le site de VirusTotal

Clique sur Parcourir... puis ouvre:

 

C:\WINNT\ISAK.exe

 

Si tu vois ce message:

 

" Your file " ***.*** " is queued in position: ***. Estimated start time is between *** and *** minutes. "

Il te faudra patienter.

 

Clique ensuite sur Send

Poste le rapport en fin d'analyse.

 

Fais pareil avec :

C:\WINNT\qjafkl.exe

[krol]

Bonsoir, m'sieur !

 

Je veux bien suivre toutes vos instructions mais je ne trouve rien qui porte ces noms dans le dossier WINNT. Bon, ceci dit, il se peut que je m'y prenne mal. Donc on disait bien dans le fichier WINNT du disque local je devrais trouver un fichier nommé ISAK.exe et un autre nommé qjafkl.exe ? Parce que là, j'ai pas !

Merci d'éclairer ma lanterne!

 

Krol

[Angeldark]

- Assure toi d'avoir accès aux dossiers/fichiers cachés

-> Démarrer

-> Panneau de configuration

-> Options des Dossiers, onglet Affichage :

. Clique sur Afficher les dossiers cachés

. Décoche Masquer les extensions des fichiers dont le type est connu

. Décoche Masquer les fichiers protégés du système d'exploitation

 

-> As tu fais ceci ?

[krol]

Oui, m'sieur, j'ai tout bien fait comme on m'a dit m'sieur

 

Est-il possible que ces fichiers soient ailleurs ? Dans un sous-dossier de WINNT ?

[Angeldark]

Au lieu de faire Parcourir-> Ouvrir sur le site

 

Colle leur emplacement dans la case en haut puis clique sur Send.

[krol]

Mais je sais pas où c'est leur emplacement ... snif snif