[resolu] Infection navipromo recalcitrante

[mcyann]

Bonjour a tous,

 

J'en appelle au pro de la securité, car j'ai un soucis sur un poste .

 

Il y a manifestement une infection navipromo sur l'ordi (pop-up casinon, winantivirus, et autre).

J'essaye de le traiter avec navilog, mais il plante (lors du choix de la langue, la fenetre se ferme...)

J'ai donc essayer avec Brute force, mais il me dit qu'il n'y a rien.

 

Voici le rapport catchme (le seul element des progs de navilog qui fonctionne) :

 

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-16 20:58:36

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:3e41e0d2

"s1"=dword:3cfbccea

"s2"=dword:7be3c169

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:10,b6,b0,6b,6c,86,90,69,b8,d4,bb,3b,7c,21,10,ca,50,7c,18,ce,0a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:10,b6,b0,6b,6c,86,90,69,b8,d4,bb,3b,7c,21,10,ca,50,7c,18,ce,0a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:10,b6,b0,6b,6c,86,90,69,b8,d4,bb,3b,7c,21,10,ca,50,7c,18,ce,0a,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

J'ai pas sauvegardé le raport avg, mais il a trouvé :

Dialer.agent.z

trojan.inect.mf

downloader.agent.fak

trojan.agent.crf

downloader.small.crf

downloader.agent.hha

 

 

J'ai vidé la restauration systeme, j'ai fait tous les scan en mode sans echec, et ca continue a me mettre des pop-up en permanence!

 

Et voici le rapport hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 08:22:33, on 17/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\WINDOWS\wanmpsvc.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe

C:\Program Files\Lexmark X74-X75\lxbbbmon.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe

C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\packard bell\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.packardbell.fr/center

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Move shim inter meta] C:\Documents and Settings\All Users\Application Data\bike bold move shim\Bias Free.exe

O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Wave cool] C:\DOCUME~1\PACKAR~1\APPLIC~1\SHIMRE~1\Defydeafrect.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

Voila, merci de m'eclairer!

Modifié le 18 janvier 2008 par mcyann

[Zonk]

Allo

Ce que je te recommande est un minimum demandé par l' "Équipe Sécurité" avant d'aller plus loin....et prend le temps de tout lire avant de commencer . Ça te donnera une idée des étapes (facile ) et des procédures à faire .....et en ayant une idée claire ça te sauvera ,peut être ,de possible dédoublements de manipulations .

 

1-On va supprimer les fichiers inutiles ...

Télécharge ATF Cleaner par Atribune....(petit programme sans danger qui ne s'installe pas.... il ne fait que s'exécuter

....parfois avec des ordis moins performants, le nettoyage est lourd....alors si tu veux alléger la tâche, va y deux cases à la fois

(si tu veux sauver tes cookies,exclu les)

Nettoyeur ATF

Installe-le sur le bureau.

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

Si tu utilises le navigateur Firefox :

 

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

 

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

2-Tu devras aller chercher Antivir Classic gratuit

(le téléchargement est dans le lien du pré-nettoyage...mais ne commence pas tout de suite cette procédure

de pré-nettoyage.....seulement aller chercher le fichier d'installation Antivir et enregistre le sur ton bureau )

http://forum.zebulon.fr/index.php?showtopic=83986

Avant d'installer Antivir,désactive ton antivirus durant tout le temps de ces procédures (c'est rare que des conflits majeurs surviennent mais comme exemple ,Antivir et Kaspersky ne font pas bon ménage ...surtout lors d'un redémarrage.....)

http://forum.zebulon.fr/index.php?showtopi...p;#entry1154506

Tuto:

http://www.libellules.ch/tuto_antivir.php

tu auras des "warnings " dans le résultat des vérifications...ce n'est que des infos que te donne Antivir...rien de menacant ou de grave )

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector" (ces fonctions sont souvent oubliées par les gens).....

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection" )

Enlève les cd ou dvd qui peuvent être dans les lecteurs car ils seront analysés inutilement lors de vérifications

 

3-Avast perd des plumes …..malheureusement car foncièrement il est bon. Voila le pourquoi de la dégringolade de Avast:

http://forum.zebulon.fr/index.php?showtopic=123053

http://forum.zebulon.fr/index.php?showtopic=127217

…....à toi d’y voir pour le destin de Avast (alors si tu es convaincu par ces lectures, tu peux le désinstaller et y aller avec Antivir...et dit toi que l'un d'un doit tout de même disparaitre ...

Idéalement jamais deux protections en temps réel de la même famille en même temps

 

Ayant besoin d'Antivir alors tu devras désinstaller l'un deux antivirus OBLIGATOIREMENT soit quand tu seras fixé ou à la fin du pré-nettoyage (je te recommande Antivir.....et quand tu verras son travail tu seras probablement convaincu de la supériorité de Antivir)....alors si Avast et Antivir cohabite quelques instants,pense à désactiver Avast avant d'installer Antivir et garde Avast déactivé tant et aussi longtemps que Antivir sera présent.....

 

Si Antivir t'intéresse suite à ces lectures ,alors tu devras désactiver Avast et ensuite

idéalement de "terminer" les processus Avast antivirus (parfois certains refusent d'être terminer, ce n'est pas tellement grave et tu poursuis tout de même) avant la suppression par ajout /Supp de prog.

alors ,voici selon moi des processus Avast antivirus à stopper

(en passant par émarrer /Exécuter et tapez taskmgr)

 

-AshDisp.exe

-Asmaisv.exe

-ashserv.exe

-ashwebsv.exe

-aawservice.exe

-aswupdsv.exe

(tu auras un message de Windows t'avisant de la possible pertes de données et d'instabilité, etc....c'est un message normal dans ces circonstances...et sans danger pour le moment car tu ne touche pas à Windows...)

Ensuite tu vas tout de go à Ajout /Supp de programmes et tu supprimes Avast antivirus

.......en cas de problème lors de la désinstallation

http://www.avast.com/fre/avast-uninstall-utility.html

 

4-Tuto pour ton antispyware:

http://www.malekal.com/tutorial_AVG_AntiSpyware.php[/i]

 

5-Imprime ces directives (le mode sans échec ne te donnera pas accès au net)

.....applique ceci...le pré-nettoyage:

http://forum.zebulon.fr/index.php?showtopic=83986

tu devras aller en mode sans échec (tu auras les infos dans le lien du pré-nettoyage).....parfois lent à démarrer/fermer...soit patient.....l'affichage sera altéré, ça reviendra suite à un redémarrage .

Profite du mode sans échec pour passer tout tes logiciels de nettoyage en ce mode (AVG Antipsyware et cie)...

On parle de supprimer Antivir suite à ce nettoyage…alors prenant pour acquis qu’il est ton antvirus ,tu oublies la suppression de celui-ci ....……

Si parfois tu gardes Avast ,alors désactive Avast durant le pré-nettoyage et durant tout le temps ou Antivir est activé (si tu désires malgré tout garder Avast ,alors tu devras obligatoirement supprimer Antivir...tu auras la procédure dans le lien du pré-nettoyage).......souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tous tes rapports et ensuite l’Équipe Sécurité te guidera pour parfaire le travail….ou te confirmer que tout est sain

 

6-Quand tu auras quelques minutes :

http://secunia.com/software_inspector/

et coche la petite case à

 

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

suit les recommandations....facile

Bye

Modifié le 17 janvier 2008 par Zonk

[mcyann]

Bon, c'est bon, je me suis debrouillé, ca marche!