Virtumonde II Récalcitrant

[gege30]

Bonjour,

 

J'ai ouvert (malencontreusement ou malheureusement, comme on veut) un mail parmi ceux que je reçois journalièrement. J'ai commencé à voir depuis un ralentissement de mon PC puis, de temps en temps un gel avec obligation de redemmarrer.

 

Un passage Spybot m'a détecté 2 malwares que j'ai supprimés dans la foulée et un scan avec mon antivirus m'a détecté Virtumonde II, mis en quarantaine et supprimé lui aussi.

 

Il doit vraisemblablement rester des traces que je n'arrive pas à trouver. Il est apparu depuis l'infection 13 commandes Winlogon qui n'était pas habituellement avec comme lignes de commandes respectives :

- Ati2evx.dll

- Ati2evx.dll

- crypt32.dll

- cryptnet.dll

- cscdll.dll

- opnligh.dll

- wlnotify.dll

- wlnotify.dll

- sclgntfy.dll

- WlNotify.dll

- wlnotify.dll

- wineaj32.dll

- wlnotify.dll.

 

Bien que je désactive ces commandes, à chaque redémarrage elles réapparaissent.

 

Je n'ai même pas réussi à terminé un scan en ligne avec Panda : le PC s'est gelé en cours de scan.

 

Je viens de faire un scan avec Hijacthis que je vous soumets :

 

Logfile of HijackThis v1.99.1

Scan saved at 09:45:43, on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\oodag.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Mes Programmes\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - ATI Technologies Inc. - (no file)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: wampapache - Unknown owner - D:\Mes Programmes\wamp\apache2\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - D:\Mes Programmes\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=D:\Mes Programmes\wamp\mysql\my.ini" wampmysqld (file missing)

 

Merci à vous de bien vouloir jeter un oeil sur ce log.

Modifié le 25 juillet 2007 par gege30

[gege30]

Bonsoir,

 

En quelque sorte ceci est un UP!

 

J'ai pu me débrouillé comme un grand en ce qui concerne Virtumonde. Mais j'avais aussi des cookies traceurs tel que Doubleclick. Apparement celui-là aussi a été éradiqué. Il reste toutefois quelquechose qui me lance les 13 processus Winlogon. Je tiens a préciser que mon client DNS est désactivé.

Ces processus font tourner le CPU à 90-95% en permanence et selon ce que je fait, le PC finit toujours par se figer. Je n'arrive même pas a réaliser un scan Spybot complet! Je suis obligé de le faire par morceaux.

 

Bref avec toutes les manip que j'ai pu faire, je souhaiterais, SVP, que quelq'un jette un oeil au log Hijacktjhis que je viens de réaliser :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:46:00, on 25/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\Mes Programmes\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Mes Programmes\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\oodag.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Mes Programmes\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Mes Programmes\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\MESPRO~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - ATI Technologies Inc. - (no file)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Mes Programmes\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\Mes Programmes\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: wampapache - Unknown owner - D:\Mes Programmes\wamp\apache2\bin\httpd.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - D:\Mes Programmes\wamp\mysql\bin\mysqld-nt.exe" "--defaults-file=D:\Mes Programmes\wamp\mysql\my.ini" wampmysqld (file missing)

 

Merci d'avance !