[Résolu]Divers problèmes de virus

tari · le 16 septembre 2007

Bonjour,

Ci-joint, mon log hijackthis ouvert depuis un autre ordinateur. Celui sur lequel il a été effectué n'ouvre plus les txt.

Logfile of HijackThis v1.99.1

Scan saved at 17:19:21, on 16/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

E:\pestpatrol\PPActiveDetection.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\Program Files\Palm\Hotsync.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [eTrustPPAP] "E:\pestpatrol\PPActiveDetection.exe"

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvduh.dll,startup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\Palm\Hotsync.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Pour une description du problème, je dirai :

- apparition fenetres de virus fréquentes

- processus masqué "spyware detection alert"

- ouverture de popups pendant le surf

- ...

Merci d'avance de m'aider à régler ces problèmes

Modifié le 19 septembre 2007 par tari

WawaSeb · le 16 septembre 2007

Bonjour tari,

*** Bienvenue sur le forum sécurité de Zebulon ! ***

Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] :

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

Enregistre HJTInstall.exe sur ton bureau
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
Renomme HijackThis.exe en Scanner.exe et lance-le
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle !

2) Télécharge Blacklight (de F-Secure)

et sauvegarde-le sur ton Bureau.

Double-clique fsbl.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

3) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

Décompresse-le sur ton bureau
Un nouveau dossier va être créé (DiagHelp)
Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
Copie/colle le rapport qui s'ouvre sur ce forum

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

Merci de poster ces 3 nouveaux rapports :

Nouvel HijackThis
BlackLight
DiagHelp

Bon travail !

tari · le 16 septembre 2007

Désolé pour le temps de réponse (autre problème : msconfig inconnu)

Voici les 3 rapports demandés, malgrès que je ne sois certain que DiagHelp ai été achevé, je l'ai copié directement depuis la fenetre Dos.

hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:06:54, on 16/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

E:\pestpatrol\PPActiveDetection.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\Program Files\Palm\Hotsync.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [eTrustPPAP] "E:\pestpatrol\PPActiveDetection.exe"

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvduh.dll,startup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\Palm\Hotsync.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 3569 bytes

Blacklight

09/16/07 18:07:47 [info]: BlackLight Engine 1.0.64 initialized

09/16/07 18:07:47 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/16/07 18:07:51 [Note]: 7019 4

09/16/07 18:07:51 [Note]: 7005 0

09/16/07 18:08:31 [Note]: 7006 0

09/16/07 18:08:31 [Note]: 7011 1956

09/16/07 18:08:31 [Note]: 7026 0

09/16/07 18:08:32 [Note]: 7026 0

09/16/07 18:08:36 [Note]: FSRAW library version 1.7.1022

09/16/07 18:24:38 [Note]: 2000 1012

09/16/07 18:24:48 [Note]: 2000 1012

09/16/07 18:27:46 [Note]: 7007 0

DiagHelp

!!!! ATTENTION !!!

Le programme va maintenant lancer scan catchme.

une fois le scan termine (avec le nombre de files/processes/services hidden dete

ctes)..

Appuyez sur la touche ENTREE du clavier pour continuer l'analyse avec DiagHelp !

!!!! ATTENTION !!!

catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http:/

/www.gmer.net

Rootkit scan 2007-09-16 18:57:30

Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:

ZwOpenFile

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\com\Allow

edPaths]

@=hex:4e,e1,43,44,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:4721ae33

"s2"=dword:566c2b14

"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\CfgD79C293C1ED61418

462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:b1,7b,d2,5c,81,cd,6d,ad,17,53,4b,16,0a,d0,f1,bd,ee,b0,89,81,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E36468

2FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:97,c3,f4,e7,fb,d4,ff,12,5c,4c,19,2d,e3,c1,1e,c1,56,7b,9f,f1,6f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurePipeServers\com\AllowedPa

ths]

@=hex:4e,e1,43,44,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\CfgD79C293C1ED61418462E

24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:b1,7b,d2,5c,81,cd,6d,ad,17,53,4b,16,0a,d0,f1,bd,ee,b0,89,81,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4

BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:97,c3,f4,e7,fb,d4,ff,12,5c,4c,19,2d,e3,c1,1e,c1,56,7b,9f,f1,6f,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls\com\AllowedPat

hs]

@=hex:3a,6c,1f,45,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls\net\AllowedPat

hs]

@=hex:7f,34,cf,46,00,00,00,00

scanning hidden files ...

scan completed successfully

hidden files: 0

---------------------------------------------------------------------------------------------------------------------------

PS : Merci pour la réponse rapide ainsi que le temps accordé

WawaSeb · le 16 septembre 2007

Bonjour tari,

*** Je suis vraiment désolé, mais tes rapports ne m'aident pas... ***

La désinfection d'une machine doit se faire avec une certaine rigueur...

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

--> Je t'avais demandé de renommer HijackThis à l'étape 1) point 4.

--> Renomme HijackThis.exe en Scanner.exe et lance-le

malgrès que je ne sois certain que DiagHelp ai été achevé, je l'ai copié directement depuis la fenetre Dos

--> Je crois que le scan n'était pas terminé...

--> Je te demande de ne pas prendre d'initiative pendant la procédure.

--> Peux-tu recommencer les deux scans stp ?

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider !

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

Comme je soupçonne une infection par Vundo et peut-être la présence de rootkits, j'ai besoin de ces rapports complets...

Bon courage !

ça va aller...

tari · le 16 septembre 2007

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:35:26, on 16/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

E:\pestpatrol\PPActiveDetection.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\Program Files\Palm\Hotsync.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {28ED8EFF-8D4A-495D-8170-DC45D6C0A14A} - C:\WINDOWS\system32\ssqrp.dll

O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\fcccdef.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll