[resolu] infecté par un trojan

[Jean Mimi 01]

Bonsoir tout le monde !

 

J'avais quelques soucis ce soir avec mon pc (encore et toujours ),

j'ai donc lancé un scan minutieux avec Avast.

 

Il m'a détecté un fichier infecté:

 

 

Agnitum\...\~spy6_main.sdb

a été infecté par Win32:Lineage-518 [Trojan]

 

Je l'ai mis en quarantaine (privé de dessert, bien fait pour lui! )

 

C'est grave, Docteur ?

Modifié le 4 mars 2007 par Jean Mimi 01

[kevin76]

Bonjour Jean Mimi 01,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Quels sont les symptômes ? Depuis quel moment as-tu des dysfonctionnements ? Sont-ils arrivés après une manipulation spécifique ? (Ajout de programme, ...)

 

Applique la procédure de pré-nettoyage de Megataupe http://forum.zebulon.fr/index.php?showtopic=83986

Prends soin de bien l'appliquer, notamment la configuration d'antivir, ceci est une étape très importante !

 

Puis poste sur le forum dans le message que tu as déjà ouvert, clique sur "répondre" entre "flash" et "nouveau" le log Hijackthis demandé dans la procédure ainsi que celui d'Antivir.

 

@+

[Jean Mimi 01]

Bonsoir Kevin, content de te lire !

 

Si tu vas faire un tour sur ma fiche, tu verras qu'il m'arrive plein d'ennuis en ce moment:

mon disque dur a flambé,

mon processeur a fait de même juste derrière (par solidarité, je pense )

 

j'ai donc remis mon vieux pentium 2 en route, mais voilà que je chope un virus !

(et moi qui me suis pourtant fait vacciner contre la grippe en octobre...)

 

J'ai installé hier Agnitum, Madotate et Ubericon,

je suis allé surfer sur des sites de vente pc,

et allé chercher quelques fonds d'écran Vista histoire de faire joli sur mon bureau...

 

J'aurais simplement aimé savoir si je pouvait continuer à fonctionner comme ça quelque temps:

je vais me monter un autre pc très bientôt et très certainement formater ce disque dur pour repartir sur une bonne base.

 

Le fichier a été placé en quarantaine, est-ce que je risque encore quelque chose ?

 

Merci de veiller si tard !

 

Mais il me semble que ça va mieux, Firefox fonctionne à nouveau...

Modifié le 26 février 2007 par Jean Mimi 01

[kevin76]

A priori, si le fichier est en quarantaine tu ne risque plus rien.

Cependant une infection vient rarement seule et si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système.

 

Il serait plus sage d'effectuer la procédure préliminaire (qui ne pas si longue qu'elle peut paraitre) et ensuite analyser les logs générés et pousser un peu plus les investigations.

Un PC infecté cause beaucoup de dégâts, que ce soit pour toi ou pour le reste des PC connecter.

 

Bonne nuit,

Kevin76.

[Jean Mimi 01]

A priori, si le fichier est en quarantaine tu ne risque plus rien.

Merci Kevin de me répondre à une heure si tardive...

 

J'ai regardé la procédure à suivre pour HijackThis, F-Secure Blacklight, Navilog, Kapersky et CCleaner, et ça me paraît insurmontable (je ne suis pas très doué!).

Et je n'y comprends rien à tous ces rapports de 10 pages chacun...

 

Je devrais recevoir mon nouveau processeur dans la semaine, pour plus de sécurité pour les autres, je vais débrancher mon modem pour deux ou trois jours...

 

Merci Kevin, je te redonnerai des nouvelles, en attendant je te souhaite

 

une bonne nuit !!!!

[Jean Mimi 01]

Bonjour à tous !

 

j'ai fait mon analyse, c'est vrai que ce n'est pas bien difficile (de la faire, quant à analyser le résultat.... )

 

Le plus long a été d'effectuer le scan Antivir.

Et oui, j'ai voulu analyser tous mes disques durs .

 

Merci beaucoup de votre aide....

 

Ne vous pressez pas: je ne suis pas de retour du boulot avant ce soir (tard!)

 

Voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:03:50, on 01/01/1998

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINXP\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINXP\Explorer.EXE

C:\WINXP\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINXP\System32\CTFMON.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

 

= Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers

 

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINXP\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINXP\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINXP\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Outpost Firewall]

 

C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OutpostFeedBack]

 

C:\PROGRA~1\AGNITUM\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"

 

/background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

 

Office\Office10\OSA.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program

 

Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program

 

Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Outpost Firewall Pro Quick Tune -

 

{44627E97-789B-40d4-B5C2-58BD171129A1} -

 

C:\PROGRA~1\AGNITUM\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

 

C:\WINXP\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links -

 

{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINXP\web\related.htm

O20 - AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1.0\wl_hook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner

 

- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program

 

Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service

 

(LightScribeService) - Hewlett-Packard Company - C:\Program

 

Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

 

Corporation - C:\WINXP\System32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum

 

Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe

 

 

Merci encore et à ce soir....

 

 

 

EDIT: j'ai oublié le rapport Antivir !

mais quel âne !!!!

 

 

AntiVir PersonalEdition Classic

Report file date: jeudi 1 janvier 1998 08:40

 

Scanning for 569934 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: Administrateur

Computer name: JEAN-Y4GWZHCMZR

 

Version information:

BUILD.DAT : 217 13775 Bytes 05/12/2006 16:54:00

AVSCAN.EXE : 7.0.3.2 200744 Bytes 05/12/2006 15:29:56

AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 15:54:04

LUKE.DLL : 7.0.3.2 135208 Bytes 31/10/2006 16:07:42

LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 15:54:04

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 15:29:56

ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14/11/2006 09:12:08

ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01/12/2006 09:12:12

ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01/12/2006 09:12:14

AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04/12/2006 17:18:38

AVPREF.DLL : 7.0.2.0 17960 Bytes 03/11/2006 09:56:46

AVREP.DLL : 6.37.0.3 667688 Bytes 01/12/2006 09:06:06

AVRPBASE.DLL : 7.0.0.0 1544232 Bytes 30/03/2006 08:42:44

AVPACK32.DLL : 7.2.0.5 360488 Bytes 23/10/2006 08:09:32

AVREG.DLL : 7.0.1.1 30248 Bytes 23/10/2006 10:52:24

NETNT.DLL : No Information!

RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 12:26:18

RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 15:54:02

 

Configuration settings for the scan:

Jobname..........................: Local Hard Disks

Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: J:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

Expanded search settings.........: 0x00001000

 

Start of the scan: jeudi 1 janvier 1998 08:40

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Modules have been scanned

Scan process 'avcenter.exe' - '1' Modules have been scanned

Scan process 'WINWORD.EXE' - '1' Modules have been scanned

Scan process 'Explorer.EXE' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'svchost.exe' - '1' Modules have been scanned

Scan process 'lsass.exe' - '1' Modules have been scanned

Scan process 'services.exe' - '1' Modules have been scanned

Scan process 'winlogon.exe' - '1' Modules have been scanned

Scan process 'csrss.exe' - '1' Modules have been scanned

Scan process 'smss.exe' - '1' Modules have been scanned

11 processes with 11 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] No virus was found!

Boot sector 'H:\'

[NOTE] No virus was found!

Boot sector 'J:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 20 files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <PROGRAMMES>

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\' <JEUX-P3>

D:\System Volume Information\_restore{0291C7CB-FAF0-4351-B80F-4CDD7D6DBBD5}\RP7\A0006526.EXE

[DETECTION] Is the Trojan horse TR/Elevir.A.3

[iNFO] The file was moved to '6adbc0d4.qua'!

D:\Save PII 350\attente\PS2\POWERTOY\SHUTDOWN.EXE

[DETECTION] Is the Trojan horse TR/Elevir.A.3

[iNFO] The file was moved to '78ffe85b.qua'!

Begin scan in 'E:\' <OFFICE>

Begin scan in 'F:\' <MICROSOFT>

Begin scan in 'G:\' <VIDE-P3>

G:\attente\PS2\POWERTOY\SHUTDOWN.EXE

[DETECTION] Is the Trojan horse TR/Elevir.A.3

[iNFO] The file was moved to '79001c29.qua'!

G:\System Volume Information\_restore{0291C7CB-FAF0-4351-B80F-4CDD7D6DBBD5}\RP7\A0006864.EXE

[DETECTION] Is the Trojan horse TR/Elevir.A.3

[iNFO] The file was moved to '6adbf734.qua'!

Begin scan in 'H:\' <MUSIQUE>

Begin scan in 'J:\' <Multimedia>

 

 

End of the scan: jeudi 1 janvier 1998 17:49

Used time: 9:08:45 min

 

The scan has been done completely.

 

4461 Scanning directories

305382 Files were scanned

4 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

305378 Files not concerned

9434 Archives were scanned

1 Warnings

104 Notes

Modifié le 27 février 2007 par Jean Mimi 01

[kevin76]

Bonsoir Jean Mimi 01,

 

Je suis désolé, je viens juste de me rendre compte de ton post

 

Promis, j'analyse tout ça dès demain matin !

 

Désolé,

kevin76.

[kevin76]

Bonjour Jean Mimi 01,

 

# Téléchargement des logiciels

 

*Créer un nouveau dossier C:\Désinfection afin d'y placer touts les logiciels servant à la désinfection.

 

*Télécharger Blacklight (de F-Secure); cliquer sur "I ACCEPT" au bas de la page puis cliquer sur "Download Blacklight Beta graphical user interface version". Le sauvegarder dans C:\Désinfection.

 

*Télécharger CCleaner http://www.ccleaner.com/ccdownload.asp et l'installer (attention à l'installation pense à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner)

 

*Télécharger la version d'évaluation d'AVG AntiSpyware (AVG AS):

http://downloads.grisoft.cz/softw/70/filed...up-7.5.0.50.exe

 

L'installer et la mettre à jour :

Démarrer AVG AS avec l'icône qui se trouve sur ton Bureau.

Cliquer sur Mise à jour,

attendre la fin de cette mise à jour,

puis fermer le programme.

 

 

#2 Préparation du système

 

*Redémarrer le PC, impérativement en mode sans échec,

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

(en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

*S'assurer d'avoir accès à touts les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer le bouton-radio: Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer a tous les dossiers

 

#3 Nettoyage AntiMalware

 

*Lancer AVG AS et cliquer sur Analyse

Puis sur l'onglets Paramètres, pour Actions recommandés sélèctionner Quarantaine.

 

Revenir a l'onglet Analyser puis cliquer sur Analyse complète du système.

Le scan démarre.

 

A la fin cliquer sur Appliquer toutes les actions

Puis sur Enregistrer le rapport et pour finir Enregister le rapport sous,enregistrer sur le Bureau.

 

 

#4 Vérification du système

 

Redémarrer en mode "normal"

 

As-tu toujours des dysfonctionnements ?

 

A titre de vérification :

 

*Renommer HijackThis.exe en Scanner.exe (clique droit => Renommer)

Lancer Scanner.exe(Hijackthis) puis Do a system scan and save log

 

*Lancer Blacklight

Double-cliquer blbeta.exe et accepter la licence; cliquer Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

*Puis poster sur le forum dans le message que tu as déjà ouvert, cliquer sur "répondre" entre "flash" et "nouveau"

Le log de :

AVG AS que tu as enregistré sur le bureau

Hijackthis présent dans le dossier où se trouve Hijackthis

Blacklight présent dans C:\Désinfection

 

Voila c'est fini pour l'instant, nous verrons pour mettre a jour ton système et le sécuriser dès que ton PC ne montrera plus de signe d'infection.

 

Bon courage et @+

[Jean Mimi 01]

Bonjour Kevin !

 

Je viens de m'apercevoir que tu m'avais répondu

Merci !

 

J'avais un peu laissé tomber le sujet vu que mes soucis n'intéressaient pas grand monde

 

J'ai suivi tes conseils :

Il serait plus sage d'effectuer la procédure préliminaire.

Un PC infecté cause beaucoup de dégâts, que ce soit pour toi ou pour le reste des PC connectés.

J'ai tenté d'étudier la procédure "comment déchiffrer une analyse HijackThis" mais je n'ai pas compris grand chose, trop compliqué pour moi (QI de 17!)

 

Ne voulant propager mes maladies sur tout le web (surtout sur Zeb, vu que j'y suis connecté 8h par jour, où plutôt par nuit) j'ai formaté le disque et tout réinstallé hier matin.

Pfou... mais quel boulot !

 

Enfin, je repars sur un pc propre, c'est l'essentiel, et j'espère que ça durera !

 

Bon dimanche à Toi Kevin,

merci et à bientôt sur Zeb !