Infection Virus une veritable casse-tete [résolu]

[Valcap]

Bonjour à tous,

 

Mon PC est infecté et ça fait deux jours que je bataille sans succès, je suis tombé sur ce forum sympa et j'espère trouver une soluce.

 

Sans trop rentrer dans les details je dis tout simplement que mon antvirus a été supprimé, config windows modifié (meme la restauration system ne marche plus) et dès que j'installe un antivirus il supprimé en temps réel (ou presque !!!).

 

J'ai fais deux scans en ligne Norton n'a rien trouvé et Trend Micro soit disant a trouvé et nettoyé mais aucun effet. J'ai egalement reussi à supprimer deux fichiers grace à Killbox (wintems.exe et hdlrrr.exe residant dans system32 et invisible).

 

Bref voici le log F-Secure Blacklight, je pourrai aussi mettre hijackthis mais y a pas grand chose.

 

Merci de votre aide

 

02/21/07 22:56:41 [info]: BlackLight Engine 1.0.55 initialized

02/21/07 22:56:41 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/21/07 22:56:42 [Note]: 7019 4

02/21/07 22:56:42 [Note]: 7005 0

02/21/07 22:56:45 [Note]: 7006 0

02/21/07 22:56:45 [Note]: 7011 1432

02/21/07 22:56:45 [Note]: 7026 0

02/21/07 22:56:46 [Note]: 7026 0

02/21/07 22:56:59 [Note]: FSRAW library version 1.7.1021

02/21/07 22:57:04 [info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\hidr.exe

02/21/07 22:57:04 [Note]: 10002 2

02/21/07 22:57:04 [info]: Hidden file: c:\Documents and Settings\Propriétaire\Application Data\hidires\m_hook.sys

02/21/07 22:57:04 [Note]: 10002 2

02/21/07 22:57:04 [Note]: 10002 3

02/21/07 22:57:04 [Note]: 10002 3

02/21/07 22:57:04 [Note]: 10002 2

02/21/07 22:57:04 [Note]: 10002 2

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg

02/21/07 23:00:18 [Note]: 10002 3

02/21/07 23:00:18 [Note]: 10002 2

02/21/07 23:00:18 [Note]: 10002 2

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\imepaden.hlp

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\imepadsm.dll

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\imepadsv.exe

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\imlang.dll

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\res\PADRS404.DLL

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs411.dll

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs412.dll

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [info]: Hidden file: c:\WINDOWS\ime\shared\res\padrs804.dll

02/21/07 23:07:04 [Note]: 10002 3

02/21/07 23:07:04 [Note]: 10002 2

02/21/07 23:07:04 [Note]: 10002 2

02/21/07 23:17:05 [Note]: 7007 0

Modifié le 25 février 2007 par Valcap

[Valcap]

rebonsoir, en cherchant plus sur le forum, j'ai reussi à supprimer hidr, voici donc le nouveau rapport Blacklight.

 

je vais maintenent essayer d'installer l'anivirus je vous tiens au courant merci.

 

02/22/07 00:06:50 [info]: BlackLight Engine 1.0.55 initialized

02/22/07 00:06:50 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/22/07 00:06:50 [Note]: 7019 4

02/22/07 00:06:50 [Note]: 7005 0

02/22/07 00:06:52 [Note]: 7006 0

02/22/07 00:06:52 [Note]: 7011 1528

02/22/07 00:06:52 [Note]: 7026 0

02/22/07 00:06:52 [Note]: 7026 0

02/22/07 00:07:05 [Note]: FSRAW library version 1.7.1021

02/22/07 00:22:50 [Note]: 7007 0

 

ps: j'aimerrai retrouver ma config windows xp, y a t-il une config type.

[Valcap]

Rebonsoir tout est ok j'ai enfin reussi à installer avas4 merci à tte l'equipe. J'aurai peut etre du chercher davantage avant de poster (desolé !) ça m'a tellement pris la tete depuis deux jours que je me suis precipité à poster. merci au forum zebulon et bravo à vous

[bruce lee]

Bonjour Valcap et bienvenue sur zebulon

 

Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Lance-le, de préférence en mode sans échec http://www.sosordi.net/Faq/Faq.2.html si tu en as la possibilité, en mode normal dans le cas contraire.

 

Assure toi que le bouton Eliminar Ficheros Automaticamente soit coché.

 

Vérifie que C:\ soit sélectionné de Unidad.

 

Clique sur le bouton Explorar

 

Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

[Valcap]

Salut Bruce lee et merci pour ton interet, je vais essayer et je posterai le rapport. J'en profite pour te demander si Lsass.exe et un virus ou pas (c'est pas claire sur le web) ? merci

 

ps: je ne comprends pas aussi que des fichiers soient invisibles (et non pas cachés) sous xp ? je fais allusion windems.exe et hldrrr.exe dans system32

[bruce lee]

re,

 

lssas.exe est légitime.

ps: je ne comprends pas aussi que des fichiers soient invisibles (et non pas cachés) sous xp ? je fais allusion windems.exe et hldrrr.exe dans system32

 

Tu es infecté par un rootkit il fait en sorte de rendre ces fichiers (hldrrr.exe ...etc) invisible.

[Valcap]

merci de la reponse,

 

pour le mode sans echec je n'ai pas pu demarrer (dans un 1er temps), j'ai donc utilisé le mode normale voici le rapport EliBaglA:

 

 

Thu Feb 22 12:48:52 2007

EliBagle v10.17 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

Eliminada Carpeta "%WinDir%\exefld"

Restaurada Clave: "SafeBoot\Minimal y Network"

 

Thu Feb 22 12:50:08 2007

EliBagle v10.17 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\HIDR.EXE --> Eliminado Bagle

C:\!KillBox\M_HOOK.SYS --> Eliminado Bagle (rootkit)

C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle

 

et ensuite j'ai pu demarrer en mode sans echec et j'en ai profité pour un 2eme scan avec EliBaglA (mais j'avoue je comprends rien ???)

 

d'autre part que font les fichiers hidr.exe et wintems.exe, dans le dossier !killBox alors que je les ai supprimé hier à l'aide de KillBoxx justement.

 

mais en me rendant dans ce repertoitre et surprise hldrrr.exe est aussi present:

 

 

Encore de l'aide, on n'est pas sorti de l'auberge !!!

[bruce lee]

re,

 

Pour killbox c'est normal, c'est un backup.

 

Refais un scan avec blacklight et poste le rapport s'il te plait.

 

@+

[Valcap]

re,

 

Pour killbox c'est normal, c'est un backup.

 

Refais un scan avec blacklight et poste le rapport s'il te plait.

 

@+

 

j'ai donc supprimé hldrr.exe et le rep hidires manuellement

je vais preparer le dossier blacklight

merci encore de l'aide,

 

ps: y a t-il un moyen simple, efficace et sans risque de nettoyer la base de registre, car j'ai encore des doutes

[Valcap]

Re, voici le rapport HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:59:01, on 22/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\wt\updater\wcmdmgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Utilitaires\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport\NTIEHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport\NTAddLink.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport\NTAddList.html

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1157277399143

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{547E2BFC-852F-4485-90A7-ABCAEF170D2E}: NameServer = 205.188.146.145

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe