norton a trouvé 36960.msi; je fais quoi ?

[maiteline]

bonsoir

 

pour la 1ère fois,Norton signale un trojan situé \windows\installer\36960.msi. Je suis perplexe et ne sais que faire. Il propose de le détruire mais j'ai peur de faire une sottise . Pourriez vous me donner un avis ? je vous écris de l'ordi voisin, l'autre, il reste sur l'écran de norton à "êtes vous sûr de voulir supprimer 36960.msi ?" ben non, je n'en suis pas sûr du tout; quel est votre avis ? c'est mon micro du boulot, si je fais une fausse manipo et que je perds mes données,quel week end en perspective !

merci pour votre aide

à très vite j'espère

[maiteline]

bonsoir

 

pour la 1ère fois,Norton signale un trojan situé \windows\installer\36960.msi. Je suis perplexe et ne sais que faire. Il propose de le détruire mais j'ai peur de faire une sottise . Pourriez vous me donner un avis ? je vous écris de l'ordi voisin, l'autre, il reste sur l'écran de norton à "êtes vous sûr de voulir supprimer 36960.msi ?" ben non, je n'en suis pas sûr du tout; quel est votre avis ? c'est mon micro du boulot, si je fais une fausse manipo et que je perds mes données,quel week end en perspective !

merci pour votre aide

à très vite j'espère

 

 

j'ajoute que j'accède par le net à des sites "sensibles" pour le travail et que j'ai vraiment très peur de cette infection: est-ce que les mots de passe que j'ai saisis pourraient être détournés ?

en explorant le site, j'ai vu qu'il était judicieux d'exécuter Hijackthis;je vais essayer de joindre le résultat ci dessous; pas très doué, il sepourrait que je me trompe... excusez moi d'avance.

 

j'espère sincèrement que vous pourrez m'aider; pourvu que vous ne soyez pas en vacances !

 

merci sincèrement pour votre aide

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:21:09, on 03/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16850)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Wanadoo\taskbaricon.exe

C:\Program Files\Microsoft IntelliType Pro\type32.exe

C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\WinPhone Suite\CapFax.EXE

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

C:\Documents and Settings\MARIE-T\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [sideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\common\swtrayv4.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CapFax] C:\Program Files\WinPhone Suite\CapFax.EXE

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [intelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/P...000045.0000011b

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-1555576864-1417818515-3399203189-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Administrateur')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O15 - Trusted Zone: http://*.symantec.com

O15 - Trusted Zone: http://*.symantec.fr

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095769124805

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1240068114046

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 9539 bytes

 

 

 

ça a marché !!!!

[Mark]

Bonjour maiteline ; je te souhaite la bienvenue sur le forum

 

Je te confirme qu'il s'agit d'une infection nouvelle et très sophistiquée. Une fois installée, cette dernière ouvre des ports sur la machine et permet à d'autres infections de se joindre au party et de se propager sur le réseau (si existant). De plus, elle transforme la machine infectée en serveur proxy afin d'attaquer d'autres ordinateurs. C'est du sérieux. Je n'ai rien lu au sujet de dérobage de mots de passe, d'enregistreur de frappes, etc... mais sait-on jamais avec les infections parallèles. Faut virer l'infection sans tarder.

 

Il serait très surprenant que Norton puisse faire quoique ce soit avec le fichier en question (qui n'est que la pointe de l'iceberg), outre que de le détecter, ce qui est déjà pas mal...

 

Voici ce que je te propose :

====================

 

Télécharge Combofix.exe de sUBs de l'un des deux liens suivants, puis sauvegarde-le sur ton Bureau (et pas ailleurs) :

 

http://subs.geekstogo.com/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Assure-toi que tous les programmes sont fermés avant de commencer.
  
• Désactive ton antivirus et pare-feu tierce partie (si présent), juste pour le temps de l'analyse.
  
• Double-clique sur Combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final.
  
• Le Bureau disparaîtra, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport est également sauvegardé là >> C:\Combofix.txt
  

Un guide d'utilisation complet se trouve au lien suivant :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

@+

[maiteline]

Merci, QC001 pour ton accueil et pour ton aide ; je désespérais . Ce matin, j'ai passé Malwarebyte's qui n'a rien détecté du tout : j'ai quitté mon ordi à midi , un peu rassuré et voilà ta réponse que je trouve en revenant ce soir qui me ramène à une dure réalité ... mais tu es là , c'est vraiment important .

 

je n'en reviens pas que mon micro soit infecté : compte tenu de son rôle (boulot), je ne le connecte à rien d'autre que les sites "sérieux" (banque, .gouv.fr, urssaf, etc...); pas de messagerie; j'utilise pour cela un autre micro qui est en réseau local (via modem/routeur netgear). Comme quoi... cette infection pourrait-elle être transmise par clé USB ? j'en ai connecté une qui n'était pas à moi. faudra-t-il que je fasse ensuite "un traitement" aux dispositifs USB ? si oui , lequel ?

Pour le moment, si je ne travaille pas, il n'y a aucune activité sur le micro (UC 0, disque "tranquille"); idem pour les autres micros du réseau 1 ou 2% d'activité process). c'est peut être bon signe ?

Bien; je t'adresse le résultat du log de combofix (j'avais stoppé toutes les applis, y compris anti virus et pare feu norton) et attends tes instructions dont je te remercie vraiment beaucoup; j'ai dû, il y a quelques mois réinstaller windows dans un autre répertoire (grâce aux infos que j'ai trouvées sur zebulon.fr), je ne saurais plus dire comment j'ai fait mais j'ai installé en fait un nouveau windows (peut être dans \winxp mais je ne m'en souviens plus) et m'en suis tiré comme ça...c'était dur dur...

à très vite, j'espère; bonne fin de journée

 

ComboFix 09-07-03.03 - MARIE-T 04/07/2009 18:00.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1534.1064 [GMT 2:00]

Lancé depuis: c:\documents and settings\MARIE-T\Bureau\ComboFix.exe

AV: Norton 360 *On-access scanning disabled* (Updated) {A5F1BC7C-EA33-4247-961C-0217208396C4}

FW: Norton 360 *disabled* {371C0A40-5A0C-4AD2-A6E5-69C02037FBF3}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Installer\17a750.msi

c:\windows\Installer\6bae6.msi

c:\windows\Installer\e42a2.msp

c:\windows\Installer\WinRMSrv.msi

c:\windows\system32\winspool.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-06-04 au 2009-07-04 ))))))))))))))))))))))))))))))))))))

.

 

2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\documents and settings\MARIE-T\Application Data\Malwarebytes

2009-07-04 07:11 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-07-04 07:11 . 2009-07-04 07:11 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-04 07:11 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-04 15:54 . 2002-08-27 09:57 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared

2009-06-06 14:29 . 2004-03-15 12:31 438 ----a-w- c:\windows\CRUNX.BIN

2009-05-29 06:23 . 2009-05-29 06:23 -------- d-----w- c:\documents and settings\LocalService\Application DataPDFcreator

2009-05-07 15:33 . 2008-04-13 17:33 348672 ----a-w- c:\windows\system32\localspl.dll

2009-04-29 04:45 . 2008-04-13 17:33 827392 ----a-w- c:\windows\system32\wininet.dll

2009-04-29 04:45 . 2008-04-13 17:33 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-04-28 06:20 . 2003-02-24 18:30 71808 ----a-w- c:\documents and settings\MARIE-T\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-19 19:50 . 2008-04-13 16:58 1847296 ----a-w- c:\windows\system32\win32k.sys

2009-04-19 07:05 . 2001-09-17 13:40 64552 ----a-w- c:\windows\system32\perfc00C.dat

2009-04-19 07:05 . 2001-09-17 13:40 446630 ----a-w- c:\windows\system32\perfh00C.dat

2009-04-17 16:49 . 2001-09-17 13:29 23660 ----a-w- c:\windows\system32\emptyregdb.dat

2009-04-15 14:53 . 2008-04-13 17:33 585216 ----a-w- c:\windows\system32\rpcrt4.dll

2008-04-14 02:33 . 2008-09-23 09:37 84992 --sha-w- c:\windows\SYSTEM32\SET232.tmp

2008-04-14 02:33 . 2008-09-23 09:37 343040 --sha-w- c:\windows\SYSTEM32\SET285.tmp

2008-04-14 02:33 . 2008-09-23 09:37 413696 --sha-w- c:\windows\SYSTEM32\SET286.tmp

2008-04-14 02:33 . 2008-09-23 09:36 1028096 --sha-w- c:\windows\SYSTEM32\SET2D7.tmp

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-22 68856]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"<NO NAME>"="c:\program files\Internet Explorer\iexplore.exe" [2009-04-25 636088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOWATCH"="c:\progra~1\Wanadoo\watch.exe" [2002-02-20 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\taskbaricon.exe" [2002-02-20 36864]

"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2002-02-20 20480]

"type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2003-05-15 114688]

"SideWinderTrayV4"="c:\progra~1\MI948F~1\GAMECO~1\common\swtrayv4.exe" [2000-06-28 24649]

"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2002-06-19 155648]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-07 196608]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2002-06-19 114688]

"CapFax"="c:\program files\WinPhone Suite\CapFax.EXE" [2001-12-10 20739]

"AdaptecDirectCD"="c:\program files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-05-20 679936]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-10-17 51048]

"osCheck"="c:\program files\Norton 360\osCheck.exe" [2008-02-26 988512]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-13 143872]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2008-02-21 152952]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R2 LiveUpdate Notice;LiveUpdate Notice;c:\program files\Fichiers communs\Symantec Shared\CCSVCHST.EXE [18/02/2008 13:37 149352]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [26/02/2009 18:21 101936]

S3 COH_Mon;COH_Mon;c:\windows\SYSTEM32\DRIVERS\COH_Mon.sys [12/01/2008 20:32 23888]

S3 SWUSBFLT;Pilote de filtre Microsoft SideWinder VIA;c:\windows\SYSTEM32\DRIVERS\SWUSBFLT.SYS [04/09/2002 19:15 3968]

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-27 c:\windows\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job

- c:\program files\Microsoft IntelliPoint\ipoint.exe [2008-06-10 10:56]

.

.

------- Examen supplémentaire -------

.

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

Trusted Zone: bplc.fr\www

Trusted Zone: symantec.com

Trusted Zone: symantec.fr

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-04 18:08

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1555576864-1417818515-3399203189-1007\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Heure de fin: 2009-07-04 18:12

ComboFix-quarantined-files.txt 2009-07-04 16:11

 

Avant-CF: 18 166 775 808 octets libres

Après-CF: 18 638 053 376 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINXP="Microsoft Windows XP Professionnel" /fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /noexecute=optin

 

140 --- E O F --- 2009-06-10 06:42

 

 

 

 

ce qui est étonnant, c'est que dans la liste des fichiers supprimés, il n'y a pas mon fameux 36960.msi !!!!

Modifié le 7 juillet 2009 par maiteline

[Mark]

Bonsoir maiteline ;

 

D'après le rapport de ComboFix, l'infection n'y est plus, donc bien joué

 

Je ne saurais te dire exactement pourquoi 36960.msi n'apparaît pas dans les détections, mais je soupçonne que:

 

1) Le fichier a changé de nom après un redémarrage (astuce de l'infection), ou...

2) Norton l'a bouffé, mais ça m'étonnerait vu la nature de cette infection.

 

Si Norton n'aboie plus, ça devrait être bon. MBAM voit cette infection aussi, donc bon signe s'il ne voit rien.

 

==========

 

Une ligne à fixer avec HijackThis (rien de méchant), alors lance ce dernier avec "Do a system scan only", puis coche la ligne suivante, ferme les fenêtres de navigateurs et clique "Fix checked" :

 

O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/P...000045.0000011b

 

Ferme HijackThis.

 

==========

 

Adobe Reader version 7 est bourré de failles de sécurité, alors prière de le désinstaller pour ensuite mettre la version 9.1 :

http://get.adobe.com/fr/reader/otherversions/

(choisis ton système d'exploitation)

 

==========

 

Possible que tu aies chopé ce truc via une clé USB infectée. Pour en avoir le coeur net, insère la clé puis scanne avec Norton (tous les lecteurs). Précaution : ne pas tenter d'ouvrir la clé ou de lancer un fichier qui s'y trouve avant d'avoir effectué l'analyse avec ton antivirus.

 

Tu peux également passer MBAM sur les autres machines, si cela peut te rassurer.

 

La machine se comporte normalement ? Je suis là si questions.

 

J'aurai une toute dernière manip à te prescrire, mais seulement après confirmation de ta part que tout semble Oké.

 

@toute

Modifié le 4 juillet 2009 par Qc001
correction pour lien d'Adobe Reader

[maiteline]

Bonjour QC001,

merci pour ton aide. je vais faire ce que tu me conseille tout de suite mais avant, je viens d'aller voir sur le disque et ... 36960.msi y est toujours . la souris, en la laissant dessus , m'indique que l'auteur est CIEL (logiciel de compta), installé à la date de sa dernière maj ... pas banal ...

la clé USB à laquelle je pense semble (ça va très vite) lancer quelquechose dès que je la connecte ... et si je la jetais pour ne conserver que mes vieilles miennes ? en les scannant, tout de même, par précaution .

Adobe 7 : là, there is a big problem; un de mes correspondant "boulot" , une "grande administration" , ne fonctionne qu'avec la V7 ! si je ne l'ai pas, je n'aurai plus accès aux imprimés dans le bon format ...

voilà ce que je voulais te dire avant que notre journée ne nous fasse partir à gauche et à droite... ce matin, après le petit déjeuner, je vais installer MBAM sur les autres micros et voir ce qu'il aura trouvé. Je vais aussi m'occuper de celui du boulot avec ce que tu m'as dit et aussi relancer Norton : 36960.msi étant toujours là, je crois que j'ai bien fait de ne pas le retirer car il provient de l'éditeur de mon outil de travail ... mais s'il est infecté, ...

je ne vais pas mettre la charrue avant les boeufs : wait and see

je te souhaite un bon dimanche; à toute à l'heure.

[maiteline]

QC001, me revoilà avec le CR de MBAM sur les 2 autres micros du réseau (je ne pourrai faire le portable que cet après midi)

 

Le résultat de Norton sur le micro n°1 donne toujours la détection de 36960.msi comme trojan horse et propose de le supprimer. Ce fichier aurait donc été installé par la dernière màj du logiciel CIEL compta en février. ça ferait quoi, de supprimer ce msi, à ton avis ? je vais peut être le renommer en toto.msi et lancer le logiciel CIEL pour voir, qu'en penses-tu ?

 

le micro n°2, curieusement celui avec lequel je fais toutes mes recherches sur le net, a un rapport MBAM négatif : pas la moindre trace de quoi que ce soit ... Le micro n°3, qui ne se connecte que très rarement, donne le rapport suivant

 

Malwarebytes' Anti-Malware 1.38

Version de la base de données: 2374

Windows 5.1.2600 Service Pack 3

 

05/07/2009 08:38:15

mbam-logXPS-2009-07-05 (08-37-36)

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 182295

Temps écoulé: 31 minute(s), 28 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 7

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> No action taken.

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\TypeLib\{4d25f920-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{4d25f923-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{4d25f924-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{4d25f926-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4d25f926-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

C:\Program Files\MyWaySA (Adware.MyWebSearch) -> No action taken.

c:\program files\MyWaySA\SrchAsDe (Adware.MyWebSearch) -> No action taken.

 

Fichier(s) infecté(s):

C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> No action taken.

 

j'attends ton feu vert pour lancer la suppression de ce que MBAM propose.

 

 

ce que je trouve extraordinaire, c'est la différence de temps de traitement de mbam qui a mis 4 heures sur le micro n°1 et 1/2h sur les 2 autres...

 

je guette ta réponse

un grand merci pour ton aide

[Mark]

Bonjour maiteline

 

Merci pour toutes les infos qui, de mon point de vue, sont très pertinentes voire intéressantes (ça vient avec le boulot ).

 

Avant de poursuivre, j'aimerais faire une petite mise en garde: tu as ouvert un topo sur CCM, pour ce même problème (en "Logiciels-Pilotes"). Tu as potentiellement une infection hyper sophistiquée et peu banale... et nous avons déjà un bout de chemin de fait ensemble. Si tu cherches d'autres points de vue ailleurs, hors forum de désinfection, ça peut aller (pour sonder les gens) mais ça risque aussi de faire déraper tout le processus enclenché ici, selon la réponse que tu obtiens là-bas. Prudence... surtout si on te dit "vire ça" ou "ne touche pas", sans informations appuyées. Il faut surtout m'aviser de toute réponse obtenue là-bas, s'il te plaît. Ça ne pourra que nous faire économiser du temps à tous les deux ; ça pourrait éviter de la casse aussi

 

============

 

À nos moutons ? Dans le désordre :

 

- Ta clé USB : Oké, garde-là au frais pour l'instant. On peut la "sauver", probablement, mais n'y touchons pas pour l'instant.

 

- Les deux autres machines : ça m'a l'air bon d'après ce que tu me dis.

 

- MBAM qui a mis 4 heures sur la machine #1 : pas normal, effectivement. Était-ce une analyse rapide ou complète ? As-tu noté un endroit (un moment) lors de l'analyse où ça semblait coincer ? Ou était-ce une lenteur générale durant toute l'analyse ? Norton intervenait-il durant l'analyse (détections) ? 30 minutes pour les autres machines, c'est plus "normal".

 

- 36960.msi toujours détecté par Norton : ça, c'est le coeur de l'énigme (j'aime bien ce type d'énigme...). Si le fichier est bien de "Ciel", alors il y a deux possibilités : 1) Le fichier a été patché par l'infection, ou... 2) Il s'agirait d'une fausse détection de Norton. Il faut enquêter..

 

==========

 

Il ne semble pas y avoir d'infection active en ce moment, mais j'en ai vu des sournoises, alors je ne déclare rien d'absolu à ce stade-ci. Je vais tout d'abord te faire analyser le fameux fichier en ligne, par plusieurs antivirus (simultanément) :

 

Il faut tout d'abord démasquer les fichiers cachés/système, en faisant ceci :

 

1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
   
2. Double-clique sur le Poste de Travail
   
3. Du menu Outils, clique Options des dossiers...
   
4. De la nouvelle fenêtre, choisis l'onglet Affichage
   
5. Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système
   
6. Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés
   
7. Décoche la case Masquer les extensions des fichiers dont le type est connu
   
8. Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé)
   
9. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
   

 

Rends-toi maintenant au lien suivant :

http://www.virustotal.com/fr/

 

- Clique sur "Parcourir..."

- Repère le fichier suivant :

 

C:\WINDOWS\Installer\36960.msi

 

- Double-clique dessus afin de le sélectionner

- Clique maintenant sur le bouton "Envoyer le fichier"

- Si leur serveur est très sollicité, il se peut qu'on te place en file d'attente ; il faut patienter..

- Si, en début d'analyse, on te signale que le fichier a déjà été analysé : choisis une "Nouvelle analyse".

- L'analyse ne prend qu'une ou deux minutes et un rapport complet s'affichera ;

- Colle simplement le lien de la page de Virus Total ici, dans ta prochaine réponse (place-le en Favoris pour éviter de le perdre).

 

C'est tout ce que je te demande pour l'instant. Si une doute persiste suite à cette analyse, je te ferai expédier le fichier à des collègues pour un examen en profondeur.

 

À bientôt,

[maiteline]

Bonjour QC001, c'est en faisant une recherche sur les problèmes CIEL que j'ai trouvé des échanges sur CCM . C'est que pendant la journée de dimanche, j'ai "gambergé", ne sachant que faire avec mon problème ; et comme les utilisateurs de Ciel ne sont pas légion, explorer cette piste pour savoir si quelqu'un avait déjà rencontré le problème , je pensais que ça pourrait nous aider et économiser du temps, justement. Il ne s'agit pas pour moi de faire des manip venues d'aileurs mais de savoir si le problème a déjà été rencontré par des utilisateurs....

ça ressemble tellement à un problème de compatibilité CIEL avec la dernière version des virus de Norton.... Mais il faut cheminer pour en être sûr, si tant est qu'on le sera jamais !

 

 

STP, mon micro n°3 est en attente d'une action avec MBAM (cf le compte rendu dans mail précédent );tu ne me dis pas s'il faut que je demande la destruction des fichiers signalés (ad-aware on dirait) ? J'abuse, je le sens ... mais j'ose quand même !

 

j'ai retenu de ce que je lis sur zebulon.fr qu'il est mieux de toujours mettre à jours les logiciels quand les maj sont proposées. je trouve que souvent, à la longue, les nouvelles versions qui proposent des fonctionnalités dont on ne se servira pas forcément amènent progressivement à ... changer de machine car toujours + de puissance demandée. Je changerai donc désormais mon point de vue au nom de la sécurité ! j'ai compris qu'une nouvelle version apporte aussi des fonctionnalités sur la sécurité (enfin, on peut espérer).

pendant mon désoeuvrement de dimanche j'ai essayé de mettre en pratique : CIEL propose une maj depuis février (dont je n'avais que faire des fonctionnalités et j'ai appris à me méfier des maj trop récentes qui souvent buggent et mettent le b....l).

j'ai donc téléchargé hier la maj :

a) erreur d'installation signalée (il manque un fichier dit l'install de ciel) ; il désinstalle mais .... malproprement car

b) je n'ai plus de CIEL du tout.

c) je fais une restauration du système à l'heure d'avant; certes je récupère l'icone de lancement de CIEL mais rien derrière.

d) je vais voir (j'ai décaché les fichiers depuis vendredi) et "mon" 36960.msi n'est plus là ...

e) et si, comme tu le suggère, le pb venait de Norton/Ciel ?

f) je stoppe norton

g) je remets avec le CD la version initiale : 36960.msi revient avec la réinstall de la version 8.1 de ciel! le produit fonctionne

h) Norton toujours stoppé, je lance l'install de la maj : ça marche cette fois !

i) et je vais voir dans Windows\install : 36960.msi n'y est plus; effacé peut être par la nouvelle installe de la v8.2 :il y a maintenant un .msi tout neuf : 40f45.msi

 

donc, peut-être que si j'avais fait en temps et en heure la maj de Ciel, je n'aurais jamais eu le problème à l'origine de tout ? that is the question.

 

J'ai mon portable sur lequel l'ancienne version se trouve encore; il faudra d'aiileurs que je le mette à niveau car elle ne sont jamais compatibles entre elles (d'où la nécessité d'attendre que la version soit stable); je pourrais peut être essayer avec lui pour voir si le problème est récurrent avec Norton . Par curiosité. Comme tu dis que "tu aimes bien ce type d'énigme"... moi, j'aime assez aussi , mais plutôt pas sur mon micro ...

J'ai quand même mis un mail au support Norton car je suppose que mon micro n'est pas le seul à utiliser Norton et Ciel (sauf peut être que c'est le seul à ne pas avoir fait la maj?) . Ils ont peut être eu ce problème. mais je doute d'obtenir une réponse... une bouteille à la mer, je dirais.

 

Pour la lenteur de l'analyse, ce n'est que sur cette machine et d'une façon générale; sur les autres, les disques sont + rapides ; j'avais , pendant l'analyse, stoppé Norton : pas d'antivirus, pas de pare feu.

 

 

J'en ai fini avec mon roman , même si c'est un peu moins long qu'un log...

Pour mon micro #3, est-ce que je delete ce que mbam a sorti ?

et pour "l'enquête" sur 36960.msi, on continue ?

 

je te souhaite une bonne journée et te remercie à nouveau pour tes conseils.

[Mark]

Bon lundi maiteline

 

Désolé de ne pas t'avoir répondu au sujet de MBAM (oubli de ma part) : oui, laisse-le virer MyWebSearch et réparer ces deux options pour le Centre de Sécu. MyWebSearch n'est pas une grosse bête ; un irritant qui bouffe des ressources, principalement.

 

Pour Ciel et Norton : bien joué. J'avais lu un topo (de 2005 je crois) où les gens avaient eu des problèmes : en désinstallant Norton, Ciel ne fonctionnait plus (??). Il aura fallu réinstaller Norton, ce qui est plus que bizarre.

 

Suite à tes expériences, moi je dirais que Norton est coupable d'une fausse détection.

 

Question (j'ai peut-être la réponse sous les yeux...) : as-tu Norton sur toutes les machines ?

 

Si tu crois pouvoir tester avec le portable, pour Ciel : pourquoi pas

 

Peux-tu tester rapidement avec le portable ? Si oui, j'attendrai avant de te prescrire un scan en ligne sur le micro #1. Quant à ce dernier, il tourne bien ? Pourrais-tu refaire une analyse rapide avec MBAM dessus, juste pour contrôle suite à la restauration ?

 

À suivre !