[résolu] liens google modifiés + svchost 300mo + Spybot bloqué

[Vince1415]

Voici un nouveau rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19, on 2009-02-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pidgin\pidgin.exe
C:\Program Files\Desktoptopia\Desktoptopia.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\opera.exe
C:\Documents and Settings\vprothais\Mes documents\Mes telechargements\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pdc-mougins.xerus.net/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Companion.JS BHO - {ADDEE521-F1CC-4B89-8C88-B2CF625B9163} - C:\Program Files\Core Services\Companion.JS\CompanionJS.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pidgin] C:\Program Files\Pidgin\pidgin.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Desktoptopia.lnk = C:\Program Files\Desktoptopia\Desktoptopia.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Companion.JS - {0402343A-B530-482b-AA27-A61CEC3E4D2E} - C:\Program Files\Core Services\Companion.JS\CompanionJS.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202381037644
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xerus.net
O17 - HKLM\Software\..\Telephony: DomainName = xerus.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xerus.net
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7282 bytes

[Falkra]

Clean (mais on n'a pas fini hein).

 

Pour tes clés, est-ce qu'il y avait un fichier autorun.inf à la racine (autre que celui du vaccin ?).

[Vince1415]

Non pas sur ma clef mais sur c: et d: (un autre DD) oui j'avais un autorun.inf qui voulait lancer une application. J'ai supprimé le fichier à l'aide d'un soft qui n'était pas Flash Disinfector mais un autre qui s'appelle autorun eater. Par contre le vaccin appliqué est celui indiqué dans cette page http://forum.zebulon.fr/infections-par-sup...es-t131959.html

 

Edit : je viens de retrouver les logs, je te met le contenu de ces fichiers avant leurs suppression si cela peut t'aider :

[autorun]
;cnrtdvkxpiqqdpdvwumeishekysnkggbwyjwoudyxdcqntbsgajpuippnwqjjkarlyyfedyendchiai
zpfqr
shellexecute="RECYCLER\S-6-2-33-100024443-100024860-100026889-8366.com c:\"
;ukorftoujritofgqjzzhgmhbrpyfqmxwdkhevcijwaqtmaylbcrpjegujwjmmxhnzvurywpmqisgvqx
emcm
shell\Open\command="RECYCLER\S-6-2-33-100024443-100024860-100026889-8366.com c:\"
;nyunvouvseyrlbhszlvlxjsusoiai
shell=Open

 

et

 

[autorun]
;tksuvlmapxrqkyoudticwjumzriagegloja
shellexecute="RECYCLER\S-6-2-33-100024443-100024860-100026889-8366.com d:\"
;huvyztcnlzfqhfkefeqbboihbaklmuqmqyrdmblqnqpjnukhvwqxnjpxbyqckbrelyspqrneqthqkav
egchbdg
shell\Open\command="RECYCLER\S-6-2-33-100024443-100024860-100026889-8366.com d:\"
;fxebgimnxscdvpzfxorqoonatttoxlgzrmnslcohgrpiwdpumpcacxghxkliqddxccemxawdvyhtess
picoushszlbebhbs
shell=Open

Modifié le 25 février 2009 par Vince1415

[Falkra]

C'est très bien. Je connais autorun eater aussi. Vaccine ton D:\ au passage.

Efface les fichiers que tu as mis en "code", ils sont infectieux.

 

On vérifie la présence de restes (l'antivirus trouvera des choses dans c:\qoobox, et c:\_otmoveit c'est normal, pas de panique).

 

• Fais un scan en ligne Kaspersky, en utilisant Internet Explorer.
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis de le faire vers le bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie-colle ce rapport dans ta prochaine réponse.

[Vince1415]

Bonjour,

J'ai été un peu long sur ce coup, mais l'analyse est super longue et j'ai du couper l'ordi avant la fin, du coup j'en ai relancé une compléte, toujours est-il que voici le resultat de l'analyse en ligne de Kaspersky. Les seuls virus trouvés sont ceux en quarantaine

 

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_UACyfulvgbr_.sys.zip Infected: Rootkit.Win32.TDSS.gwh

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACpdwqhtmi.dll.vir Infected: Packed.Win32.Tdss.c

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACxwhixdxl.dll.vir Infected: Packed.Win32.Tdss.c

C:\quarantine\Av-test.txt.Vir Infected: EICAR-Test-File

C:\quarantine\UACfda9.tmp.Vir Suspicious: Trojan.Win32.Patched.dy

Modifié le 26 février 2009 par Vince1415

[Falkra]

Dommage de ne pas avoir tout le rapport... mais on va faire avec ça.

 

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Efface les deux fichiers ci dessus du dossier C:\quarantine aussi.

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Pour les clés USB, c'est ok ?

[Vince1415]

Oups pardon je ne pensais pas que tu voulais le rapport complet, c'est vrai que qui peut le plus peut le moins. Je te met le rapport au complet au cas où

 

KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, February 26, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, February 26, 2009 11:42:48

Records in database: 1847735

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

E:\

U:\

Scan statistics

Files scanned 101676

Threat name 4

Infected objects 4

Suspicious objects 1

Duration of the scan 01:47:10

 

File name Threat name Threats count

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_UACyfulvgbr_.sys.zip Infected:

Rootkit.Win32.TDSS.gwh 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACpdwqhtmi.dll.vir Infected: Packed.Win32.Tdss.c

1

C:\Qoobox\Quarantine\C\WINDOWS\system32\UACxwhixdxl.dll.vir Infected: Packed.Win32.Tdss.c

1

C:\quarantine\Av-test.txt.Vir Infected: EICAR-Test-File 1

C:\quarantine\UACfda9.tmp.Vir Suspicious: Trojan.Win32.Patched.dy 1

The selected area was scanned.

 

Je n'ai pas de soucis avec ma clef USB tout semble nikel. Mes processus svchost sont revenus a des utilisations mémoire plus raisonnable

J'ai Ad-aware d'installé avec le resident activé, est ce que cela sert tout de même à quelque chose ?

Une autre question, mbam est mieux que spybot ? cela sert-il a quelque chose d'utiliser spybot ou vaut-il mieux utiliser mbam ?

Modifié le 27 février 2009 par Vince1415

[Falkra]

Merci, impeccable.

 

J'ai Ad-aware d'installé avec le resident activé, est ce que cela sert tout de même à quelque chose ?

Vu le taux de détectino et d'efficacite d'ad-aware, bof, mais bon, tu as ^du la payer cette version, alors on ne va pas jeter ton argent ar les fenêtres en la désinstallant, maintenant.

Evidemment, si c'était du cracké, tu pourrais t'en passer (je ne juge pas, j'évalue des options).

 

MBAM enterre largement spybot et ad-aware : c'est techniquement le plus abouti, et de loin, sa base de données est très complète et surtout avec les vraies saletés qu'on voit régulièrement, là où d'autres laissent rapidement tomber. Tu peux remplacer spybot et ad-aware par MBAM, dans la pratique.

 

Combofix est désinstallé, c'est bon ?

[Vince1415]

Ok merci bien pour toutes ces precisions

Ad-aware n'a pas été acheté il s'agit de la version Free Anniversary Edition qui est gratuite est contient le Ad-watch live, donc si tu me dis qu'il ne sert a rien, je le vire, je n'aime pas avoir 10000 logiciels inutiles, je préfére garder mbam si il est plus puissant. J'en profiterais pour l'installer chez moi également

 

Oui combofix a été desinstallé et les fichiers en quarantaines supprimés du pc.

[Falkra]

MBAM est en effet bien plus puissant et efficace.

 

Quelques conseils en sécurité.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Tu peux protéger ta navigation avec Firefox et le sécuriser :

http://www.libellules.ch/securiser_firefox_1.php

(partie stripmyrights en option)

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).