infection malware et trojan non classifié

[paristou]

Bonjour,

 

Depuis quelques jours une attaque virale s'en prend à mon ordi et s'est installée dans le système. J'ai scanné avec comodo, malwarebytes et Trend Micro, mais impossible de supprimer car ces objets ne sont pas répertoriés...

Suite à cela, je ne peux plus utiliser certains programmes, tel que Foxit Reader par ex.

 

Voici ce que me dit Comodo (partiellement en abrégé):

- win32.sality.NAQ@577101 dans C:\\WINDOWS\system32\drivers\egsqqo.sys

- Trojware.win32.Trojan.Agent.~EZH@15295479 dans C:\\ Doc and Set\...mndwf.exe + winlors.exe

- Unclassified Malware@16952578 dans C:\\winqpyj.exe

- Trojware.win32.TrojanDownloader.Agent.~CZB@152

- etc...

Pour chaque objet, j'ai cliqué mise en quarantaine, mais ils reviennent toujours. Avec l'option "remove" c'est pareil.

 

J'ai essayé de restaurer le système à une date antérieure, mais refus catégorique. De plus, impossible de démarrer l'ordinateur en mode sans échec!

 

Merci de votre aide!!!!!!!!!!!!!!!

 

Voici au besoin un rapport hijackthis effectué ce jour, connexion au réseau coupé:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:27:08, on 07.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\COMODO\SafeSurf\cssurf.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 4600 bytes

[Apollo]

Bonsoir,

 

Sality est le cousin de Virut, on ne le chope pas par hasard mais souvent par les cracks ou keygen.

 

Il s'attaque aux exécutables et il est extrêmement difficile de désinfecter cette saloperie.

 

Fais tes sauvegardes de doc perso mais en aucun cas ne sauvegarde des fichiers exécutables (fichiers en .exe, .scr, .htm, .html, .asp, .php, .zip ou .rar), aucun crack, aucun keygen ou fichier téléchargé via P2P (Emule etc. au cas où tu en aurais...)

 

Tu pourrais être amené à formater, d'où ces précautions.

 

On peut tenter le coup mais l'analyse est très longue.

 

Pour qu'AVP Tool fasse correctement son travail de nettoyage et de désinfection, il ne faut pas que le pc se mette en veille!

 

Aller par le panneau de configuration à Options d'alimentation: régler tous les paramètres sur "Jamais", Appliquer/Ok. Comme le montre cette capture d'écran:

 

 

Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/

 

SCANNER AVEC AVP TOOL

 

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

• Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image:
  
   
  Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  
• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  
• Connecte éventuellement tes clés USB et disques externes.
   
   
  
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
  
• Réponds "Oui" à la question "Do you want to continue installation?"
  
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
  
• Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
  
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
  
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
  
   
  
• Valide avec "Apply" puis "OK"
  
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect"
   
  
  
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
  
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
  
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
  
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
  
  
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
  
  A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en Mode normal.
  
• Poste le contenu du rapport dans ta prochaine réponse
  

 

 

*** Le rapport étant très lourd, je te demanderais de bien vouloir l'héberger ici: http://www.senduit.com/ choisis de le laisser disponible 4 ou 5 jours afin que l'on puisse le consulter pendant quelques jours.

Récupère le lien et transmets-le dans ta réponse stp.

Si le rapport est vraiment trop lourd, ne copie/colle que le début du rapport, où il est indiqué les actions entreprises par le tool.

 

Bonne chance.

 

@++

[paristou]

Bonjour et merci pour les infos... néanmoins, comme mentionné dans mon précédent post, je ne peux plus démarrer en mode sans échec, probablement à cause de cette infection.

Par ailleurs, comment puis-je supprimer les fichiers exécutables, ainsi que les fichiers temporaires... Avant je passais par ccleaner, mais lui aussi est aux abonnées absents...

 

A+

[Apollo]

Re,

 

Il doit y avoir autre-chose qui provoque ce manque de mode sans échec; c'est mal parti je le crains.

 

Je dois me renseigner pour voir si je peux te faire exécuter un fichier reg pour essayer de récupérer au moins le MSE pour pouvoir lancer AVP Tool.

 

Ton xp est un Home ou un Pro?

 

@++

[Apollo]

Re,

 

Désolé mais j'ai quelques problèmes de connexion.

 

On va tenter une analyse en mode normal avec DrWebCureIt puisque tu n'as pas de mode sans échec.

 

Pour ne pas que CureIt se fasse bouffer tout cru, avant d'enregistrer launch.exe sur ton BUREAU, tu dois le renommer en launch.com et choisir "tous les fichiers" en dessous (au lieu d'Application).

 

Il y a des problèmes sur le site éditeur, aussi, prends-le ICI

 

 

 

Tu ne tiendras donc pas compte de la demande d'analyse en mode sans échec, du moins dans un premier temps.

Tu dois fermer tous tes programmes y compris antivirus et firewall durant toute la durée du scan.

 

Il n'y a aucune garantie de réussite, aussi fais tes sauvegardes comme dit précédemment. (Aucun exécutable, bref tous ceux déjà écrits plus haut).Ceci au cas où tu devrais formater.

 

Je donne la procédure habituelle:

 

• Double clique launch.exe et ensuite clique sur Analyse;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

 

Bonne chance..

[paristou]

Hello,

 

L'infection était trop importante, mon ordi s'est fait dévorer tout cru... au point que je n'arrivais plus rien faire du tout! Du coup il a été mis à poil, puis complètement rhabillé auprès d'un pro...

 

Merci toutefois pour l'aide apporté en terme d'investissement!

A bientôt.. du moins j'espère pas trop tôt!

[Apollo]

Bonjour,

 

J'imagine que ce "pro" est surtout un pro du formatage, comme beaucoup d'entre eux d'ailleurs.

 

Je sens que je vais ouvrir un commerce avec l'enseigne: "Format professionnel: 100 euro"

 

Quoiqu'avec ce genre d'infection, il n'y a pas beaucoup d'alternatives, mais pourquoi ne pas avoir fait ce format toi-même? Cela t'aurait épargné pas mal de sous

 

Si tu veux éviter ces toute grosses infections, fuis les cracks, keygen et P2P à tout prix.

 

On trouve souvent l'équivalent ou presque de la plupart des logiciels payants, c'est gratos et c'est nettement moins risqué.

 

@++