Win32/Hostblock [Résolu]

[Poulki]

Résultat du scan avec SDFix, il ne m'a rien enlevé et il est toujours détecté après le redémarrage de windows.

 

SDFix: Version 1.234

Run by Administrateur on 10.10.2008 at 09:52

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-10 10:14:03

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000000

"ujdew"=hex:f8,b7,3e,9a,41,d6,e7,24,8b,60,d9,75,28,05,65,f6,3e,b8,e2,e7,54,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000000

"ujdew"=hex:f8,b7,3e,9a,41,d6,e7,24,8b,60,d9,75,28,05,65,f6,3e,b8,e2,e7,54,..

 

scanning hidden registry entries ...

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E178A9FB-9FE3-47A7-0423-3DEF69862686}]

"oapmndmoaagjkgknddkbencmjpaofk"=hex:6a,61,6a,63,63,61,6a,69,63,6a,6d,66,65,62,64,6d,64,6a,61,6b,00,..

"pafmhclpcigihmmcanebjnjeplelompp"=hex:6a,61,6b,63,67,6b,6f,6d,63,62,61,64,69,66,6e,62,64,6d,62,70,00,..

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"="C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe:*:Enabled:Adobe Version Cue CS3 Server"

"C:\\Program Files\\CA\\eTrustITM\\InoRpc.exe"="C:\\Program Files\\CA\\eTrustITM\\InoRpc.exe:*:Enabled:eTrust ITM - RPC Service"

"C:\\Program Files\\CA\\eTrustITM\\Realmon.exe"="C:\\Program Files\\CA\\eTrustITM\\Realmon.exe:*:Enabled:eTrust ITM - Realtime monitor"

"C:\\Program Files\\CA\\eTrustITM\\Shellscn.exe"="C:\\Program Files\\CA\\eTrustITM\\Shellscn.exe:*:Enabled:eTrust ITM - Shell Scanner"

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Thu 19 Aug 2004 24,448 A.SHR --- "C:\NTBOOTDD.SYS"

Mon 14 Apr 2008 933,888 ..SHR --- "C:\WINDOWS\system32\srmhost.exe"

Wed 23 Jul 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\adicarlo\Application Data\U3\temp\Launchpad Removal.exe"

 

Finished!

[Apollo]

Bonjour

 

Ouais c'est une belle bestiole!

 

Remarque: ton antivirus vaut des clous hein

Si tu veux, on pourrait en installer un gratos qui travaillerait bien mieux que ça.

 

En attendant, on va liquider cette cochonnerie avec un antivirus non-résident, que tu pourras d'ailleurs conserver. (à mettre à jour de temps en temps en le remplaçant).

 

Utilise le second lien pour être sûr d'avoir directement le dernier à jour

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• ou

http://www.freedrweb.com/cureit/
Double clique drweb-cureit.exe et ensuite clique sur Analyse;
Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
De retour à la fenêtre principale : clique pour activer "Analyse complète";
Clique le bouton avec flèche verte sur la droite, et le scan débutera.
Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
Ferme Dr.Web Cureit
Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

@++

[Thanos]

salut,

 

Désolé de m'incruster sur le sujet!

 

Poulki, avant de faire le scan avec Dr.Web CureIt, j'aimerai te demander un petit service stp:

Malwarebytes' Anti-Malware n'a pas détecté le fichier infecté, ce qui est plutôt rare! Aussi, j'aurais aimé que tu expédies une copie de ce fichier sur leur site d'upload. La manipulation est très simple et ne prendra que quelques secondes.

 

Rend toi à cette adresse => http://uploads.malwarebytes.org/

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >>

 

C:\WINDOWS\system32\srmhost.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur le bouton "Upload" qui se trouve en bas de la page du site. Une copie de ce fichier va être expédiée. Tu reçevras un message t'indiquant que le fichier a bien été envoyé >>

Thank you! The file srmhost.exe has been uploaded!

 

Merci d'avance

[Poulki]

Bonjour,

 

Alors j'ai passé le Dr.Web CureIt qui a réussit à le dégager, parcontre j'ai du interrompre le scan complet, je le relancerai ce soir en partant du boulot pour vérifier qu'il n'en reste plus rien. En tout cas ce matin j'ai plus eu de message de l'antivirus qui détectait quelque chose avant.

 

Sinon oui, pour l'antivirus c'est pas terrible effectivement, on me l'avait conseillé à l'époque quand j'en cherchais un pour notre petite structure au boulot.

 

En tout cas merci beaucoup de ton aide, ça m'a bien rendu service, j'étais à 2 doigts de tout reformatter et tout réinstaller.

[Poulki]

salut,

 

Désolé de m'incruster sur le sujet!

 

Poulki, avant de faire le scan avec Dr.Web CureIt, j'aimerai te demander un petit service stp:

Malwarebytes' Anti-Malware n'a pas détecté le fichier infecté, ce qui est plutôt rare! Aussi, j'aurais aimé que tu expédies une copie de ce fichier sur leur site d'upload. La manipulation est très simple et ne prendra que quelques secondes.

 

Rend toi à cette adresse => http://uploads.malwarebytes.org/

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >>

 

C:\WINDOWS\system32\srmhost.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur le bouton "Upload" qui se trouve en bas de la page du site. Une copie de ce fichier va être expédiée. Tu reçevras un message t'indiquant que le fichier a bien été envoyé >>

 

 

Merci d'avance

 

Aïe, désolé c'est trop tard, j'avais désinfecté la chose le vendredi matin déjà.

 

J'y penserai la prochaine fois que je tombe sur quelque chose (en espérant que ce ne sera pas de si tôt).

[Apollo]

Bonjour Poulki, Thanos

 

Je suis content que tu sois débarrassé de cette saleté.

 

Pour la remontée d'infos ce n'est pas grave; mais cela aurait servi à donner à MBAM des fichiers très intéressants pour les intégrer dans ses bases et pour pouvoir les neutraliser d'un coup.

 

J'ai vu que tu avais placé en résolu, c'est donc que tu es satisfait.

 

 

 

Pour sécuriser au maximum ton PC, il faut:

 

[/b] Que tu connaisses les pièges d'Internet et la façon de les éviter.

Pour cela, consulte ce document au format PDF. Tout y est expliqué.

Jusqu'à présent Vista avait été épargné par les virus et troyens essentiellement développés pour XP. Mais il est vite devenu la cible des menaces en tout genre. Donc, autant savoir à l'avance comment se protéger.

 

:arrow: Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Win32/HostBlock)
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
  

 

 

Pour être tenu au courant de l'évolution de certaines applications et être dirigé vers des liens de mises à jour de ces programmes: installe le PSI de Secunia.

Une analyse par semaine suffit amplement.

 

A bientôt