[Résolu] Infecté : forum de la dernière chance ...

Mark · le 8 décembre 2006

Bonjour Éric

Merci pour tous ces détails ! Ça me facilite le travail

Il y a de belles choses là-dedans, mais heureusement les quelques fichiers infectés présents ne semblent plus actifs. On pourra tout de même leur botter les fesses

**Il est possible que certains fichiers (ou dossier) résistent à la suppression en mode Normal ; si c'est le cas, supprime les en mode Sans Échec.

===========================

c:\windows\system32\drvwak.dll << vire !! (associé au Desktop Hijack)

~~~~~~~~~~~~~~~

MS06-040_Server_Service_Buffer_Overrun_Exploit << dans PC-Cillin : aucune idée !!

~~~~~~~~~~~~~~~

c:\Documents and Settings\Administrateur\Application Data\SearchToolbarCorp\Toolbar Vision

..ceci est VSToolbar

http://www.sophos.com/security/analyses/vstoolbar.html

Pour désinstaller :

- Clique sur "Démarrer" >> "Exécuter...", puis colle la ligne suivante dans la boîte et clique "Ok" :

regsvr32.exe /u /s "%ProgramFiles%\VSToolbar\VSToolBar.dll"

(infos ici : http://www.bleepingcomputer.com/uninstall/...-Explorer.html)

~~~~~~~~~~~~~~

c:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\system.dll

...le truc en rouge est un dossier, et non un CLSID. C'est du Vundo ça... Regarde ce que McAfee avait trouvé :

C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\Update.exe ... Found the Generic Downloader.k trojan !!!

C'est bien Vundo... et VundoFix le trouve celui-là, mais pas system.dll (qui est maintenant inactif de toute façon..).

Tu peux donc virer le dossier suivant (en rouge) :

C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021} <<

Astucieux ces pirates...

~~~~~~~~~~~~~~

Pour ce qui est des autres détections de McAfee : tu as bien tout viré avec ton BartPE ? Si oui, bien joué. On les aurait eu de toute façon, avec les outils que je t'ai proposés On y voit Vundo, Le fameux PWS qui dérobe les infos bancaires + Keylogger (Sinowal / Torpig / PWS-JA), Spwarestrike (Desktop Hijack), BackDoor-CVT (vient souvent avec Vundo - souvent viré par VundoFix), HackerDefender (fait partie du rootkit qui vient souvent avec des IRCBots/SDBots ; virés dans ton cas avec SDFix), Downloader-EV (IRCBot avec porte dérobée... viré par SDFix).

McAfee n'a pas tout vu, surtout pas le fameux rootkit pe386

~~~~~~~~~~~~~~

Quel traitement as-tu réservé à eMule ? Très radical j'espère ? (ne cherche plus la source de tes 40 de température... :hola: ).

~~~~~~~~~~~~~~

Ok, quelques manips préventives maintenant :

Ta machine Sun Java n'est pas tout à fait à jour, et il traine une vieille version que tu dois désinstaller également (piège à Vundo...), alors voici quoi faire :

- Ouvre le Panneau de Config

- Ouvre "Java" (la tasse de café)

- Choisis l'onglet "Mise à jour" (au haut), et clique "Mettre à jour maintenant" (au bas).

- Installe la nouvelle version (Update 9)

- Quitte la console Java.

- Reviens au Panneau de Config >> "Ajout/Suppression de programmes"

- Désinstalle les deux anciennes versions de Java, et ne conserve que la Update 9 :

J2SE Runtime Environment 5.0 Update 6

J2SE Runtime Environment 5.0 Update 4

- Ferme le Panneau de Config.

-----------------------------------

On vide la Restauration système maintenant, et on recrée un nouveau point tout frais :

- Clic droit sur le Poste de Travail >> "Propriétés" >> onglet "Restauration du système"

- Coche : "Désactiver la Restauration système sur tous les lecteurs"

- Redémarre l'ordi

- Retourner à cette même fenêtre après redémarrage, puis décoche la case afin de réactiver la restau

- Quitte la fenêtre.

==========================

C'est tout pour l'instant

Le plus gros du travail est maintenant derrière nous (et ton log HijackThis! semble propre) :hola:

Dis-moi si j'ai oublié des trucs.

Ah oui, on devra virer les restants de Norton ; faudra désactiver/virer quelques Services ; je m'en charge au prochain post

@ bientôt !

Modifié le 8 décembre 2006 par Qc001

Mykerinos · le 8 décembre 2006

Salut gato456, salut Qc001 ...

Je m'immisce encore (car je suis le topic depuis le début pour contempler le maître en action ) ...

Pour vous faciliter la vie avec les résidus de Norton, utilisez l'utilitaire de nettoyage fourni par Symantec ...

C'est simple rapide et efficace ...

Bonne journée à vous deux ...

gato456 · le 8 décembre 2006

Salut gato456, salut Qc001 ...

Je m'immisce encore (car je suis le topic depuis le début pour contempler le maître en action ) ...

Pour vous faciliter la vie avec les résidus de Norton, utilisez l'utilitaire de nettoyage fourni par Symantec ...

C'est simple rapide et efficace ...

Bonne journée à vous deux ...

Bonjour à tous les 2,

Pas de problème Mykerinos :hola: . D'ailleurs j'ai récupéré "Active Ports" : il ne lui manque que l'historisation. Sinon pouvoir enfin associer un port TCP/UDP ouvert et l'exécutable qui le gère, quel soulagement . Merci donc pour cette suggestion. Je vais aller jeter un oeil à cet URL pour nettoyer Symantec ... et l'utiliserai à moins que le maester n'y voie un inconvénient :hola: ?

Mark voici le résultat du boulot de ce Midi.

drvwak.dll : kaput

VSToolBar : J'ai lancée la commande de désinstallation dans une boite CMD pour voir s'il y avait un affichage particulier, Nada : il ne se passe rien de particulier ni de notable dans le comportement d'IE. Le répertoire est toujours présent par contre les 2 fichiers textes qui sont dedans (PageHistory.txt et WebHistory.txt) sont vides et n'ont pas bougés depuis le 30/11. Je vais donc renommer ce répertoire en attendant de le supprimer définitivement. Peut-etre que j'ai fait sauter cette toolbar le jeudi ou le vendredi : je viens de me rappeler que j'ai installé et utilisé temporairement XoftSpySE, c'est peut-être lui qui a fait le nettoyage ?

system.dll et son répertoire en forme de CLSID : miam

eMule : radical, plus aucun exécutable, juste beaucoup de documentations et quelques mp3

Java, désinstallation de :

J2SE Runtime Environment 5.0 Update 6

J2SE Runtime Environment 5.0 Update 4

Mais aussi de

J2SE Runtime Environment 5.0

Java 2 Runtime Environment, SE v1.4.2_12

Il ne me reste plus que l'update 9. J'ai pas été trop loin en extrapolant que je pouvais faire ce nettoyage ? A prioiri non, j'ai fait un test avec http://www.java.com/en/download/help/testvm.xml

RAZ Restauration système faite. Note : j'ai 2 partitions C: et D: Sur D: "System Volume Information" n'autorise que "SYSTEM" alors que sur C: il autorisait quasiment tout le monde. J'ai reconfiguré celui de C: sur le modèle de D:, à savoir "SYSTEM" seul. Toutefois le groupe administrateurs reste propriétaire.

A priori, tu n'as rien oublié. Eventuellement si tu as des infos pour pegasus ? sur le port 5989 en écoute pour du protocole HTTPS Je viens de fouiller un peu le net et j'ai l'impression que c'est lié à des outils de déploiements et de surveillance Hewlett-Packard livrés en standard sur PC préinstallé et rattaché à une console HP SIM. Je pense que je n'aurais pas du latter pegasus en 1er, mais d'abord les outils s'appuyant sur cette couche. Tant pis, le mal est fait, et de toute manière je n'aime pas trop l'idée d'avoir un port en écoute sans mon accord

Par contre j'aurais une dernière question : est-ce qu'il existe des virus, trojean, etc ... connus autour de Macromedia ShockWave ?

Je poste un nouvel HijackThis! après ce post.

C'est tout pour le moment, j'attends juste ton feu vert pour tester la désinstallation Symantec.

A+ :-? Eric

gato456 · le 8 décembre 2006

Oups ! J'avions zoublié le HijackThis! Voici qui est réparé ...

Logfile of HijackThis v1.99.1

Scan saved at 18:18:18, on 08/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr

O15 - Trusted Zone: *.hp.com

O15 - Trusted IP range: 192.168.0.213

O15 - Trusted IP range: 62.160.191.118

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Mark · le 8 décembre 2006

Bonsoir vous deux

Je voulais poster plus tôt, mais le forum était HS.

Le temps me manque, alors je fais vite (pour l'instant..).

Merci à Mykerinos pour l'utilitaire de Symantec je dois être masochiste pour vouloir désinstaller Norton en manuel... alors tu peux certainement utiliser le tool ! Je croyais trouver un outil différent sur Symantec/fr, mais c'est le même (avec mention US/Canada dans l'url) :

http://service1.symantec.com/SUPPORT/INTER...050414110429924

Outil universel donc

Redémarre après désinstallation, puis reviens mettre un nouveau log HijackThis!, juste pour confirmer.

----------------------------------------

Bien joué pour les deux versions anciennes de Java ; je m'étais fié au listing de VundoFix qui n'a pas vu ces deux-là :

VundoFix V6.2.13

Checking Java version...

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 23:30:32 01/12/2006

La SE v1.4.2_12 est particulièrement vulnérable aux Vundos... Je mentionnais "piège à Vundo" dans mon précédent post, mais j'aurais dû dire "appât"

Pour ce qui est de failles poissibles avec ShockWave, je devrai faire quelques recherches, mais je n'ai rien vu là-dessus récemment...

Je dois filer !

J'examinerai ton prochain log HijackThis! (pour Norton).

@+

Mark.

gato456 · le 10 décembre 2006

Bonsoir à tous les deux,

Je ne m'éternise pas non plus, pressé ce soir : je pars pour une semaine à PAU.

RAS sur le desinstaller Norton si ce n'est qu'il fonctionne à merveille. J'ai juste eu à faire un petit nettoyage manuel de répertoires trainant dans les "Documents and Settings/*/Application Data" de chacun des utilisateurs. Mon coté maniaque ...

Bref, il faut que je file, alors voici le dernier HijackThis.

Logfile of HijackThis v1.99.1

Scan saved at 20:30:36, on 10/12/2006