Systeme estropié ... et en sursis ...

[grenadekorp]

Salut à tous !!!

J'vois qu'ca déborde d'appel au secours par ici .... j'y apporterai juste ma ch'tite contribution si j'peux m'permettre ...

 

Bon voilà le topo :

 

Suite à un surf et des décompressions un peu permissifs si j'puis dire (bah quoi, la vie est chère! ), mon système s'est essouflé peu à peu;

L'antivirus s'excite (en cycle CPU), l'explorer freeze, pis v'la que je te fais du reboot intempestif et du redémarrage en mode 3 pixels/4bits ...

... ok ... le pc est vérolé jusqu'au kernel et y me le fait comprendre à la dure...

 

On sort donc l'artillerie, p'tet un peu tard mais bon ... une p'tite formation express par ici et du coté d'Assiste.com, on récupère des outils de-ci de là, et surtout on sécurise le périmètre pour une prochaine fois, à grand coup de bridage du Windows-passoire et de camouflage réseau !!!

On scanne dans tous les sens et on expatrie du trojan Small, Hupigon, Bifrose ... et autres squatteurs moins pénibles ... mais toujours pas de virus à l'horizon ... pas forcément rassurant par ailleurs mais bon j'ai toujours l'impression de surfer à poil ... !!!

 

Alors on essaie tout de même de réinstaller les drivers ATI histoire de naviguer plus confortablement, et là ... surprise !!! La WPA de Billou s'était faites discrete depuis le temps, que j'en avais même oublier de faire la manip' de backup des 2 fichiers du system32 afin d'inhiber la réactivation, or avec les barricades que j'ai monté, impossible de trouver c'qui fait couiner le module d'activation ...

 

... bref tout ca pour vous dire qu'il ne me reste que 2 jours pour que :

-vou

s

m'aidiez ju

s

te

à

comprendre certain

s

truc

s

-vou

s

m'aidiez

à

trouver le

s

zone

s

infect

é

s

-je fini

s

s

e me

s

travaux en cour

s

et me

s

bac

k

up avant le fdi

s

k

-... et enfin ... pour que j'pui

s

s

e finir un po

s

t

s

an

s

ê

tre interrompu comme un fi

s

ton au fond d'une capote

!!!!!!!!!!!!!!!!!!

(ouai

s

c'e

s

t le 2ieme la y'en a marre)

 

... ah oui ! ch'tit d

é

tail incompr

é

hen

s

ible en pa

s

s

ant : 1foi

s

\2 il m'e

s

t impo

s

s

ible d'enregi

s

trer

s

ur C: via le menu contextuel en m'expliquant qu'il le con

s

id

è

re comme un lecteur externe + impo

s

s

ible de modifier le

s

parametre

s

d'affichage en me pretextant que C:\windaube\

s

y

s

tem32\ctagent.dll n'e

s

t pa

s

une image valide, v

é

rifiez par la di

s

k

7 ... bla ... bla ... bla ...

s

auf que ctagent c'e

s

t une librairie de mon GPU Creative ...

... j'vai

s

te le me le reformater

à

coup de pelle moi, on va voir QUI C'E

S

T L'PATRON ICI !!!!

 

En d

é

s

e

s

poir de cau

s

e (et de voir mon pc dan

s

cet

é

tat

s

urtout), j'ai jet

é

un coup d'oeil du cot

é

de Root

k

itReveal mai

s

l

à

je

s

è

che donc voivi le rapport ... (vi' !!! petit

s

carab

é

deviendra grand

... un jour) :

 

-------------------------------------------------------------------------------

H

K

LM\

S

ECURITY\Policy\

S

ecret

s

\

S

AC* 23/10/2006 14:14 0 byte

s

K

ey name contain

s

embedded null

s

(*)

H

K

LM\

S

ECURITY\Policy\

S

ecret

s

\

S

AI* 23/10/2006 14:14 0 byte

s

K

ey name contain

s

embedded null

s

(*)

 

H

K

LM\

S

OFTWARE\Cla

s

s

e

s

\In

s

taller\Product

s

\32418F9EE1126B64A90E8365B85CFCF6\ProductName 31/07/2007 23:58 26 byte

s

Data mi

s

match between Window

s

API and raw hive data.

 

H

K

LM\

S

OFTWARE\Micro

s

oft\Window

s

\CurrentVer

s

ion\Unin

s

tall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\Di

s

playName 31/07/2007 23:59 26 byte

s

Data mi

s

match between Window

s

API and raw hive data.

 

H

K

LM\

S

Y

S

TEM\Control

S

et002\

S

ervice

s

\a347

s

c

s

i\Config\jdgg40 07/08/2007 00:12 0 byte

s

Hidden from Window

s

API.

 

H

K

LM\

S

Y

S

TEM\Control

S

et002\

S

ervice

s

\d347prt\CfgJf40 22/01/2007 21:23 0 byte

s

Hidden from Window

s

API.

 

C:\Document

s

and

S

etting

s

\All U

s

er

s

\Application Data\

K

a

s

per

s

k

y Lab\AVP7\PdmHi

s

t\cd4.80FDAAC201C7DE5D.hi

s

tory000000.ba

k

14/08/2007 12:27 4.42 MB Hidden from Window

s

API.

 

C:\

S

y

s

tem Volume Information\_re

s

tore{66442623-3494-4822-B187-C6BE1F5C7B37}\RP2\A0000955.RDB 14/08/2007 12:23 3.67 MB Hidden from Window

s

API.

 

C:\WINDOW

S

\a

s

s

embly\GAC_32\

S

y

s

tem.Enterpri

s

e

S

ervice

s

\2.0.0.0__b03f5f7f11d50a3a\

S

y

s

tem.Enterpri

s

e

S

ervice

s

.dll 08/08/2007 11:13 252.00

K

B Vi

s

ible in Window

s

API, but not in MFT or directory index.

 

C:\WINDOW

S

\a

s

s

embly\GAC_32\

S

y

s

tem.Enterpri

s

e

S

ervice

s

\2.0.0.0__b03f5f7f11d50a3a\

S

y

s

tem.Enterpri

s

e

S

ervice

s

.Wrapper.dll 08/08/2007 11:13 111.50

K

B Vi

s

ible in Window

s

API, but not in MFT or directory index.

--------------------------------------------------------------------------

 

Voil

à

, exprimez-vou

s

... m

ê

me

s

i c'e

s

t pour m'envoyer balader

s

ou

s

pr

é

texte que j'ai obligation de reformater du fait de mon

s

ur

s

i

s

de 2 jour

s

, ce

s

erait l

é

gitime mai

s

pa

s

t

é

m

é

raire ... enfin j'

s

en

s

que vou

s

ê

te

s

un ch'ti peu

é

mu et que vou

s

allez pa

s

me lai

s

s

ez tomber ...

J'attend

s

votre feux-vert pour le Hijac

k

au

s

s

i ...

 

Merci de m'avoir

s

upporter ju

s

qu'ici .. @+

[eclypse]

Salut,

 

1) Peux tu telecharger hijackthis et poster un log ici stp

2) Pourrais tu faire un scan en ligne via INTERNET EXPLORER dispo ici

 

Poste les deux rapports

 

Amicalemetn

 

Eclypse

[grenadekorp]

Tu peux m'envoyer la procédure des 4 etapes préliminaires au rapport stp ??? j'la trouve plus ...

 

Pour l'antivirus sous IE (scripts & activeX activé) => "la clé de recherche requise n'a été trouvé dans aucun contexte d'activation actif" ...

... erreur que j'ai d'ailleurs aussi en rentrant une url direct dans la barre d'adresse !!!

 

j'suis en train de scanner sous firfox chez Trend ... arretes-moi c pas ce que tu veux exactement ...

[eclypse]

Poste un rapport hijackthis comme je te l'ai indiqué ... et pour trend c ok

[grenadekorp]

Bon je m'arrache les cheveux là !!!!!!!!!!

 

Reboot en plein scan ... j'décide de passer en sans echec en pensant contourner quelques restrictions de sécurité pour faire le scan Panda, et j'apprends qu'il est impossible d'utiliser ce mode en periode de réacivation windows .... même en mode Admin caché ...

 

Reboot automatique ...

 

Le problème c'est que pour passer en mode sans echec, j'suis pas passer par F8 mais par le Boot.ini > /SafeBoot + network ... donc reboot infini !!!!!!!!!!!!!!!!!!!!!!

 

une idée .... ???

 

ps : heureusement que j'ai un autre pc

[grenadekorp]

Bon je m'arrache les cheveux là !!!!!!!!!!

 

Reboot en plein scan ... j'décide de passer en sans echec en pensant contourner quelques restrictions de sécurité pour faire le scan Panda, et j'apprends qu'il est impossible d'utiliser ce mode en periode de réacivation windows .... même en mode Admin caché ...

 

Reboot automatique ...

 

Le problème c'est que pour passer en mode sans echec, j'suis pas passer par F8 mais par le Boot.ini > /SafeBoot + network ... donc reboot infini !!!!!!!!!!!!!!!!!!!!!!

 

une idée .... ???

 

ps : heureusement que j'ai un autre pc

 

J'ai oublier de preciser que le redemarrage en mode normal sous F8 n'a maintenant plus aucun effet !!!

 

Y'aurait-il moyn=en de contourner ca par la console de récupération ???

[grenadekorp]

Alleluiaaaa !!!

C bon j'suis passé en désactivant le rdémarrage en cas d'erreur systeme !!!

J'reviens avec les logs ...

[grenadekorp]

Bon vu qu'il y en a pour 1/2heure de scan, est ce que tu peux m'eclairer en attendant sur le log de RootkiRevea : ne serait-ce que des faux positifs ????

l

[grenadekorp]

Hop me revoilou !

 

Bon ben t'es pas très bavard .... surement débordé vu le nb de post ...

 

Scan antivirus : 1 adware et 3 failles IE que je n'utilise jamais ...

 

Highjack:

 

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 17:55:00, on 14/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe

C:\Logiciels\KAV7\avp.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe

C:\Logiciels\AVG Anti-Spyware 7.5\avgas.exe

C:\Logiciels\KAV7\avp.exe

C:\Logiciels\Securite\ZoneAlarm\zlclient.exe

C:\Program Files\Razer\Diamondback\razerhid.exe

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Logiciels\Securite\PestPatrol\cctray\cctray.exe

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Logiciels\Securite\PestPatrol\CA Anti-Spyware\CAPPActiveProtection.exe

C:\Logiciels\SpywareGuard\sgmain.exe

C:\WINDOWS\system32\svchost.exe

C:\Logiciels\Perfect DIsk\PDSched.exe

C:\Logiciels\SpywareGuard\sgbhp.exe

C:\Logiciels\Securite\PestPatrol\ccprovsp.exe

C:\Program Files\Razer\Diamondback\razertra.exe

C:\Program Files\Razer\Diamondback\razerofa.exe

C:\WINDOWS\system32\wpabaln.exe

C:\Logiciels\Internet\Firefox 2.0\firefox.exe

E:\#Xterne Logiciels\Sécurité\#Anti-Spy-Hijack\HiJackThis\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ./|\. WARNING ./|\. Vous surfez sur un vecteur de diffusion de Spywares !!!

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Logiciels\Pando\PandoIEPlugin.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Logiciels\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Logiciels\Internet\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Logiciels\Bureautique\Pixma MP450\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Logiciels\Internet\Save Flash\SaveFlash.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Logiciels\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [AVP] "C:\Logiciels\KAV7\avp.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Logiciels\Securite\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [cctray] "C:\Logiciels\Securite\PestPatrol\cctray\cctray.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Mozilla Thunderbird.lnk = C:\Logiciels\Internet\Thunderbird 2\thunderbird.exe

O4 - Startup: SpywareGuard.lnk = C:\Logiciels\SpywareGuard\sgmain.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Logiciels\Internet\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\LOGICI~1\BUREAU~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Logiciels\Bureautique\Pixma MP450\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Logiciels\Bureautique\Pixma MP450\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Logiciels\Bureautique\Pixma MP450\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Logiciels\Bureautique\Pixma MP450\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Logiciels\Internet\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Logiciels\KAV7\SCIEPlgn.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\LOGICI~1\BUREAU~1\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1185704091421

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Logiciels\Securite\a-squared Anti-Malware\a2service.exe (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Logiciels\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Logiciels\KAV7\avp.exe

O23 - Service: CaCCProvSP - Unknown owner - C:\Logiciels\Securite\PestPatrol\ccprovsp.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\SharedComponents\PPRT\bin\ITMRTSVC.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Logiciels\Perfect DIsk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Logiciels\Perfect DIsk\PDSched.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PPCtlPriv - CA, Inc. - C:\Logiciels\Securite\PestPatrol\CA Anti-Spyware\PPCtlPriv.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 10066 bytes

[eclypse]

Salut,

 

Désolé je ne connais pas le logiciel utilisé auparavant et ton log hijackthis est correct ... donc il va falloir chercher la petite bete

 

1°) Télécharge Smitfraud dispo ici

2°) Une fois l'application lancée choisis l'option 1 puis poste moi le rapport

 

Amicalement

 

Eclypse