Win32:Agent-EEW et reboots

[CheshireKate]

Slu tous.

 

 

J'ai eu une infection plutot massive il y a environ deux semaines. Quelques scans avec avast avaient supprimé la plupart des fichiers infectés, a l'exception d'un maindll.dll qui reapparaissait regulierement, et qui etait detecté par le scan resident comme un trojan "Win32:Agent-EEW".

A ce moment la, mon pc tournait relativement bien, a part IE et msn qui ne se connectaient pas (pas de probleme avec firefox), et un reboot sur "erreur serieuse" de temps en temps.

La procedure de pré nettoyage conseillée en post it a resolu le probleme pour ie et msn, pas pour les reboot, mais comme j'ai pas eu beaucoup de temps libre j'ai rien fait contre ca.

Depuis, j'ai changé avast pour antivir, et son scan resident trouve regulierement des fichiers infectés, qui sont de deux types:

C:\WINDOWS\Temp\win****.tmp

C:\System Volume Information\_restore{44D348E7-EEAE-415A-B2F2-62325F23D830}\RP179\A00*****.dll ou .exe.

 

Mais depuis 2h ce matin, le demarrage d'une session en mode normal est suivi systematiquement d'un blue screen of death (j'adore cette expression). Antivir ne trouve pas grand chose en scannant C: en mode sans echec.

Bref : besoin d'aide !

 

Un rapport hijackthis fait entre le debut d'une session en mode normal et l'ecran bleu) :

 

Logfile of HijackThis v1.99.1

Scan saved at 04:11:18, on 04/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\hphmon06.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP00364 - {2F16DE49-9D33-4849-B812-2ED38C9BCE15} - C:\PROGRA~1\PICS-F~1\PICS-F~1.DLL

O3 - Toolbar: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Program Files\pics-factory Toolbar\pics-factory.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [instantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernels32.exe

O4 - HKLM\..\Run: [qwertybot.exe] C:\WINDOWS\system32\qwertybot.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\digital imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Program Files\pics-factory Toolbar\pics-factory.dll

O9 - Extra 'Tools' menuitem: pics-factory Toolbar - {661294F7-1833-46B3-99EA-7AF25A41FC33} - C:\Program Files\pics-factory Toolbar\pics-factory.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing

O17 - HKLM\System\CCS\Services\Tcpip\..\{160A15DC-184A-4E56-872D-402AA70B798F}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{160A15DC-184A-4E56-872D-402AA70B798F}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS2\Services\Tcpip\..\{160A15DC-184A-4E56-872D-402AA70B798F}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS3\Services\Tcpip\..\{160A15DC-184A-4E56-872D-402AA70B798F}: NameServer = 212.27.54.252,212.27.53.252

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxx.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\ahlwv.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

 

Pouvez en tirer quelquechose ?

Modifié le 4 mai 2007 par CheshireKate

[Malekal_morte]

Bonjour,

 

-- Télécharge LSPfix

-- Lance LSPfix

-- Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.

-- Coche la case "I know what I'm doing"

-- Sélectionne toutes les instances des dll suivantes (s'il y en a, sinon ferme LSPfix) :

 

abcdefgh.dll

 

--> fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".

Clique sur le bouton "Finish".

(Si elles sont déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

 

________________

 

 

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
   
  Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
  Double-clic sur clean. Cela va ouvrir une fenêtre noire.
  Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
  Clean va travailler.
  Un rapport Va etre généré, colle le contenu entier ici.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

Redémarre l'ordinateur

 

-- Copie/Colle ici les rapports :

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- SDfix

- ainsi qu'un nouveau log HiJackThis

[CheshireKate]

LSPfix : abcdefgh.dll supprimé, le programme met automatiquement un autre .dll dans la colonne remove, j'ai oublié son nom et je l'ai mis dans keep.

 

 

Clean : il a supprimé pas mal de fichiers, mais aucun rapport n'a été produit, probablement pour la meme raison qui fait qu'apres ca le bloc note ne semblait plus exister, que wordpad avait besoin d'un dll manquant pour demarrer, que word et RunThis ne demarraient plus, et que windows a besoin d'un hal.dll manquant au redemarrage.

 

J'ecris ca d'un autre ordinateur... J'imagine qu'il ne me reste plus que la reinstallation de windows, mais j'avais encore une question : y'a un moyen de reinstaller ces fichiers systeme sans formater le disque ?

[Malekal_morte]

C'est toi qui vois pour la réinstallation.

Mais si tu as des données sur le C

En réinstallant, tu vas les perdre.

 

Tu peux restaurer le fichier hal.dll comme ceci :

- Démarrer sur la console de récupération à partir du CD de Windows : http://www.malekal.com/console_recuperatio...#mozTocId862261

- Une fois dessus tapez cette commande : expand d:\i386\hal.dl_ c:\windows\system32\hal.dll

suivi de la touche entrée pour valider.

- S'il te dit qu'il existe déjà, tu dis oui.

 

Regarde si Windows boot ensuite.

[CheshireKate]

Bah je vais essayer ca avant. Thx.

Modifié le 4 mai 2007 par CheshireKate

[CheshireKate]

"Impossible de creer le fichier hal.dll"

[Malekal_morte]

OK fais ça toujours en console de récupération (fond noir etc..) en appuyant sur entrée pour valider les commandes :

chkdsk c:

attrib -r -h -s c:\windows\system32\hal.dll

ren c:\windows\system32\hal.dll c:\windows\system32\hal.bak

expand D:\i386\hal.dl_ c:\windows\system32\hal.dll

fixmbr

fixboot C:

bootcfg /rebuild

exit

[CheshireKate]

chkdsk c:

"Disque en bon etat et non verifié" (ou quelque chose dans cet esprit)

 

chkdsk c: /p

"au moins une erreur detectée"

 

attrib -r -h -s c:\windows\system32\hal.dll

ren c:\windows\system32\hal.dll c:\windows\system32\hal.bak

"le parametre n'est pas valide" (pour les 2)

 

expand D:\i386\hal.dl_ c:\windows\system32\hal.dll

"impossible de creer le fichier hal.dll"

 

fixmbr

"nouvel enregistrement de demarrage principal a été ecrit correctement"

 

fixboot C:

"nouveau secteur de demarrage ecrit correctement"

 

bootcfg /rebuild

"erreur"

 

exit

[Malekal_morte]

OK

 

Bon :

 

Tjrs sur la console , fais ça :

cd\

cd Windows

cd system32

attrib -r hal.dll

attrib -h hal.dll

attrib -s hal.dll

ren hal.dll hall.old

expand D:\i386\hal.dl_ hal.dll

exit

[CheshireKate]

cd\

"commande non reconnue"

cd Windows

"pas pu trouver le fichier ou le repertoire"

cd system32

"c:\windows\system32>"

attrib -r hal.dll

"pas pu trouver le fichier ou le repertoire"

attrib -h hal.dll

"pas pu trouver le fichier ou le repertoire"

attrib -s hal.dll

"pas pu trouver le fichier ou le repertoire"

ren hal.dll hall.old

"pas pu trouver le fichier ou le repertoire"

expand D:\i386\hal.dl_ hal.dll

"impossible de creer le fichier hal.dll"

exit

 

hm...