Trojan win32-gen dans ms06.exe

fav025 · le 25 juin 2009

Bonjour à tous

Depuis aujourd'hui, un trojan ne cesse de se déclencher.. J'ai effectuer la manoeuvre avec Sdfix mais, apparemment, rien n'y fait..

Auriez vous la gentillesse de m'aider ? Merci d'avance.

Voici le rapport d'Hijackthis effectué ce soir.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:50:01, on 26/06/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Perso\Mes documents\Bureau\Logiciels PC\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\befr.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-21-2041825689-3879812656-2972491928-1007\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash (User '?')

O4 - HKUS\S-1-5-21-2041825689-3879812656-2972491928-1007\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\befr.htm

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Update Service (gupdate1c987ab43d1cc70) (gupdate1c987ab43d1cc70) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: lxcr_device - - C:\WINDOWS\System32\lxcrcoms.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

--

End of file - 6955 bytes

Le report de Sdfix:

SDFix: Version 1.84

Run by Perso - 26/06/2009 - 0:06:14,53

Microsoft Windows XP [version 5.1.2600]

Running From: C:\PROGRA~1\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\i - Deleted

Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder

C:\WINDOWS\system32

No streams found.

Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

Remaining Files:

---------------

Backups Folder: - C:\PROGRA~1\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

Finished

fav025

Modifié le 25 juin 2009 par fav025

Falkra · le 26 juin 2009

Bonjour,

n'utilise jamais d'outils spéciaux, surtout sans les connaître, cela peut planter ta machine, c'est dangereux !

Supprime SDfix.

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

Double-clique maintenant sur le fichier téléchargé.
Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
Poste le rapport généré. (C:\TB.txt)

Ta machine est dangereusement vulnérable, il faudra mettre à jour XP et IE d'urgence.

fav025 · le 26 juin 2009

Bonjour Falkra

Merci d'avoir répondu à ma demande.. Ok, je supprime Sdfix..

Voici la liste éditée par Toolbar

-----------\\ ToolBar S&D 1.2.8 XP/Vista

( : )

USER : Perso ( Administrator )

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 27/06/2009| 1:22 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\AskBarDis

C:\Program Files\AskBarDis\bar

C:\Program Files\AskBarDis\unins000.dat

C:\Program Files\AskBarDis\unins000.exe

C:\Program Files\AskBarDis\bar\bin

C:\Program Files\AskBarDis\bar\Cache

C:\Program Files\AskBarDis\bar\History

C:\Program Files\AskBarDis\bar\Settings

C:\Program Files\AskBarDis\bar\bin\askBar.dll

C:\Program Files\AskBarDis\bar\bin\askPopStp.dll

C:\Program Files\AskBarDis\bar\bin\psvince.dll

C:\Program Files\AskBarDis\bar\Cache\000CD8F0

C:\Program Files\AskBarDis\bar\Cache\000CDD55

C:\Program Files\AskBarDis\bar\Cache\000CDE8E.bin

C:\Program Files\AskBarDis\bar\Cache\000CE18B.bin

C:\Program Files\AskBarDis\bar\Cache\000CE341.bin

C:\Program Files\AskBarDis\bar\Cache\000CE4E7.bin

C:\Program Files\AskBarDis\bar\Cache\000CE66D.bin

C:\Program Files\AskBarDis\bar\Cache\000CE787.bin

C:\Program Files\AskBarDis\bar\Cache\files.ini

C:\Program Files\AskBarDis\bar\History\search

C:\Program Files\AskBarDis\bar\Settings\config.dat

C:\Program Files\AskBarDis\bar\Settings\prevcfg.htm

C:\Program Files\AskBarDis\bar\Settings\prevCfg2.htm

C:\WINDOWS\iun6002.exe

-----------\\ Extensions

(Perso) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"Start Page"="http://www.google.fr/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"="http://www.google.com/ie"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack\Crack

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack\Crack\Backup of UDefrag.xml

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack\Crack\UDBootCfg.xml

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack\Crack\UDefrag.exe

C:\DOCUME~1\Perso\Mes documents\Ultimate defrag\DiskTrix Ultimate Defrag 2008[ v2.0.0.55] WinAll[h33t][Dave3737]\Crack\Crack\UDefrag.xml

1 - "C:\ToolBar SD\TB_1.txt" - 27/06/2009| 1:25 - Option : [1]

-----------\\ Fin du rapport a 1:25:38,68

En ce qui concerne XP Sp1 et IE, je suis obligé de rester sur cette config car, avec SP2, mon Flight SImulator est injouable.. (perte de FPS due à SP2)

Merci de ton aide

fav025

Falkra · le 27 juin 2009

Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."

Tape explorer puis valide.

En ce qui concerne XP Sp1 et IE, je suis obligé de rester sur cette config car, avec SP2, mon Flight Simulator est injouable.. (perte de FPS due à SP2)

Le SP2 ne consomme pas vraiment plus de ressources, il y a fort à parier que ce soit autre chose. La toolbar d'Ask, qu'on va virer par contre, ça fera du bien.

-------------

Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage).

Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace, par ailleurs le support utilisateur est efficace et réactif, comme il doit l'être pour un logiciel de ce type.

Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :

http://www.avast.com/fre/avast-uninstall-utility.html

Au besoin en mode sans échec, si ça rouspète vraiment (rarement nécessaire toutefois).

Pour Antivir voici un lien de téléchargement direct (version en français) :

http://dlce.antivir.com/package/wks_avira/...personal_fr.exe

Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

Il faudra faire la mise à jour et le scan complet proposés à la fin de l'installation, et poster le rapport obtenu.

Antivir est plus léger qu'Avast, et infiniment plus efficace.

fav025 · le 27 juin 2009

Voici le rapport avec Toolbar/suppression

-----------\\ ToolBar S&D 1.2.8 XP/Vista

( : )

USER : Perso ( Administrator )

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( 27/06/2009| 9:28 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskBarDis\bar

Supprime! - C:\Program Files\AskBarDis\unins000.dat

Supprime! - C:\Program Files\AskBarDis\unins000.exe

Supprime! - C:\WINDOWS\iun6002.exe

Supprime! - C:\Program Files\AskBarDis