Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu]Infection de type Windows Security avec croix system tray et p

Gilles93

Par Gilles93
dans Analyses et éradication malwares

 Partager

Messages recommandés

Gilles93 Junior Member

Gilles93

Posté(e)
Posté(e) (modifié)

Bonjour à toutes et tous,

 

Je rencontre un problème sur un PC : il y a eu une infection avec croix blanche dans rond rouge dans le system tray.

Plus d'accès au registre, au panneau de config, etc ...

 

En cherchant sur ce forum, j'ai trouvé 2 personnes ayant rencontré ce problème.

J'ai suivi vos instructions et le problème est disparu mais visiblement, il reste un problème car le PC refuse de démarrer en mode normal, seul le mode sans échec fonctionne.

 

Il s'agit d'un XP.

 

Voici le dernier rapport HJT en date.

 

Pourriez-vous m'aider à retrouver une situation normale sachant que j'ai déjà utilisé HJT, SmitFraud et autres programmes conseillés ici plusieurs fois.

 

Merci pour vos interventions futures et désolé si un sujet à ce propos m'a échappé.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:53:04, on 15/10/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s

O4 - HKLM\..\Run: [uSRobotics Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe

O4 - HKLM\..\Run: [beidsystemtray] C:\Program Files\Belgium Identity Card\beidsystemtray.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\_svchost.exe

O4 - HKLM\..\Run: [wumgr] C:\WINDOWS\System32\wumgr.exe

O4 - HKLM\..\Run: [FEUVERT] C:\WINDOWS\twain_32.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.be/startpage/dialup/be/

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: eID CRL Service - Zetes - C:\WINDOWS\System32\beidservicecrl.exe

O23 - Service: eID Privacy Service - Zetes - C:\WINDOWS\System32\beidservicepcsc.exe

O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\System32\_svchost.exe

O23 - Service: NNServ - New.net, Inc. - C:\Program Files\NewDotNet\nnrun.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\Windows\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows DateTime Service (Win32Date) - Unknown owner - C:\WINDOWS\Wintime.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 3587 bytes

 

Notez que j'ai déjà essayé de fixer la ligne O20 à de multiples reprises mais rien n'y fait.

Modifié par Gilles93

styx Extrem Member

styx

Posté(e)
Posté(e)

Bonsoir Gilles93

 

Fais tout ce qui suis dans l' ordre ...

 

(si ce n’ est déjà fait) Télécharge et installe CCleaner :

http://www.pcentraide.com/index.php?showtopic=3847

Sur le site, clique sur > Download latest version et laisse-toi guider.

Ne coche pas "Ajouter la barre d' outils Yahoo".

Laisse-le s’ installer tel que …

 

Ferme toutes les fenêtres et applications.

Relance HijackThis et clique sur > Do a system scan only puis, coche les

cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

 

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\_svchost.exe

O4 - HKLM\..\Run: [wumgr] C:\WINDOWS\System32\wumgr.exe

O4 - HKLM\..\Run: [FEUVERT] C:\WINDOWS\twain_32.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe

O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\System32\_svchost.exe

O23 - Service: NNServ - New.net, Inc. - C:\Program Files\NewDotNet\nnrun.exe

 

Puis, clique sur > Fix checked et valide par « Yes ». Referme HijackThis.

 

Affiche les fichiers et dossiers cachés

Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".

Ensuite, clique sur > Outils > Options des dossiers ...

clique sur l' onglet « Affichage » et ...

coche ---> Afficher les fichiers et dossiers cachés

décoche > Masquer les extensions des fichiers dont le type est connu

décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).

« Appliquer » et « OK ».

 

Rends-toi dans > Démarrer > Panneau de config. > Ajout/suppres… de prog.

 

Supprime, si tu le(s) trouves > WinAble - NewDotNet ou New.net

 

Ensuite, va dans > Démarrer > Poste de travail > C:\

 

C:\WINDOWS\System32\_svchost.exe

C:\Program Files\WinAble

C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

C:\Program Files\NewDotNet

 

Supprime le(s) fichier(s)/dossier(s)/programme(s) en gras, si tu le(s) trouves.

 

Vide la Corbeille.

 

Remet les fichiers et dossiers cachés dans leur configuration initiale.

 

Lance CCleaner ...

Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.

(re)"Lance le nettoyage" et reconfirme par OK.

 

Redémarre le PC.

 

Télécharge et installe SmitFraudFix ...

http://siri.urz.free.fr/Fix/

 

Double-clique sur SmitfraudFix.exe

Dans le menu, choisis 1 et appuie sur "Entrée" pour créer un rapport que tu

trouveras à la racine du disque système C:\rapport.txt

 

Poste-le.

Gilles93 Junior Member

Gilles93

Posté(e)
  • Auteur
Posté(e)

Merci de ton aide.

 

J'ai suivi les étapes mais certains points ne me sont pas autorisés et restent dans le rapport de HJT.

 

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

 

Ces 2 points me posent toujours problème.

Impossible d'effacer la DLL et pareil pour l'EXE.

La DLL est en cours d'utilisation et le startdrv.exe est "protégé".

 

Je ne sais toujours pas démarrer autrement qu'en mode sans échec.

 

Malgré tout voici le rapport de SmitFraudFix :

 

SmitFraudFix v2.240

 

Rapport fait à 9:09:17,56, mar. 16/10/2007

Executé à partir de C:\Documents and Settings\Audrey Ost\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Audrey Ost

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Audrey Ost\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AUDREY~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D489A591-C016-4597-8296-D666D53F36E5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{D489A591-C016-4597-8296-D666D53F36E5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{D489A591-C016-4597-8296-D666D53F36E5}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Gilles93 Junior Member

Gilles93

Posté(e)
  • Auteur
Posté(e)

Au besoin, voici le dernier rapport HJT en date :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9:22:58, on 16/10/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s

O4 - HKLM\..\Run: [uSRobotics Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe

O4 - HKLM\..\Run: [beidsystemtray] C:\Program Files\Belgium Identity Card\beidsystemtray.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM\..\RunOnce: [RemoveInstallPath] cmd.exe C:\WINDOWS\system32\cmd.exe /c rmdir /S /Q "C:\PROGRA~1\WinAble" > nul

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-21-3386617511-3217088289-1795444424-1005\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.be/startpage/dialup/be/

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: eID CRL Service - Zetes - C:\WINDOWS\System32\beidservicecrl.exe

O23 - Service: eID Privacy Service - Zetes - C:\WINDOWS\System32\beidservicepcsc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\Windows\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows DateTime Service (Win32Date) - Unknown owner - C:\WINDOWS\Wintime.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 3242 bytes

Clafouti Extrem Member

Clafouti

Posté(e)
Posté(e)

Pour venir à bout d'un malware démarré via un "WinLogon Notify", tu as 2 solutions : passer via la console de récupération de Windows (la méthode à été décrite dans un post précédent sur Zébulon), soit tu graves un Live CD linux, tu bootes avec ce cd et tu supprimes le fichier "C:\Documents and Settings\All Users\Documents\Settings\partnership.dll".

styx Extrem Member

styx

Posté(e)
Posté(e)

Bonsoir/bonjour à tous ...

 

Gilles93,

 

Télécharge clean.zip

http://www.malekal.com/download/clean.zip

Décompresse-le sur ton bureau (clic droit / Extraire tout) ; tu vas alors obtenir un dossier clean.

C' est tout pour l' instant.

 

Télécharge eScan Antivirus Toolkit

http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html

Installe eScan Antivirus Toolkit dans le dossier : C:\Kaspersky

Ouvre le dossier C:\Kaspersky et double-clique sur kavupd.exe pour le mettre à jour.

C' est tout pour l' instant.

 

Télécharge et installe AVG AntiSpyware ...

http://www.malekal.com/tutorial_AVG_AntiSpyware.php

 

Télécharge SDFix (de AndyManchesta) et sauvegarde-le sur ton bureau.

Double-clique sur SDFix.exe et choisissez Install pour l'extraire dans un dossier dédié sur le bureau.

 

Redémarre le PC en mode sans échec :

http://forum.telecharger.01net.com/telecha...messages-1.html

(méthode F8 de préférence)

 

------------------------------------------------------------------------------------------

Tu n' auras pas accès à Internet pendant le "mode sans échec".

Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la sur le

"bureau" pour l' avoir à ta disposition.

------------------------------------------------------------------------------------------

 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.

Appuyez sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Le système sera plus long pour redémarrer qu'à l'accoutumée, car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.

Les icônes du bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt si tu désires le visualiser.

 

Redémarre de nouveau en mode sans échec ...

 

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clique sur clean.cmd.

Une fenêtre noire va apparaître ; choisis l'option 2 et laisse l'operation de nettoyage s'effectuer.

 

Ouvre le fichier mwavscan.com ; coche les options comme indiquées sur cette page ...

http://www.malekal.com/fichiers/eScan/eScan3.png

Clique Scan Clean pour démarrer le scan et laisse-le scan se faire jusqu'au bout.

 

*****

Poste ...

1. le rapport SDFix

2. le rapport clean.zip que tu trouveras dans C:\rapport_clean.txt

3. un autre rapport HijackThis, stp

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...