[RESOLU] Log Hijackthis pour infection Dropper.gen et CriptXPACK.gen

[greenman]

Bonjour,

 

Je souhaiterais faire analyser les logs HijackThis et Malwarbytes suite à un contrôle de sécurité sur un pc portable Compaq Presario 2100 (1,86Ghz, 704Mo de RAM) sous windows XP pro Version 2002 Service Pack 3 à jour.

J'ai désinstallé F-Secure (avec Ccleaner et le désinstalleur F-secure) pour le remplacer par Antivir.

J'ai désactivé la restauration système.

Un scan avec bitDefender en ligne a révélé le troyen CriptXPACK.gen

 

En mode sans échec, j'ai fait le ménage dans les fichiers temp avec Ccleaner (en cochant les données prefetech).

Un scan Antivir a révélé le CryptXPACK.gen et le Dropper.gen

Un scan avec ClamWin a révélé le troyen Dropper.gen et un autre que je subodore être un fake Delphi.gen (ce pc contient une sauvegarde d'un univers de développement delphi). Ils ont été détectés et isolés par Antivir lors de l'analyse ClamWin. Cette fois de nombreux doublons ont été détectés pour CryptXPACK et Dropper.

J'ai par la suite supprimé les fichiers de la quarantaine (aucun fichier ne venait des fichier systèmes)

 

J'ai vidé la corbeille avec Ccleaner.

 

Scan avec malwarebytes.

Log avec HijackThis

Un nouveau scan d'antivir n'a rien donné mais la machine conserve sa lenteur, vu le nombre de fichiers infectés , j'ai bien peur que certains soient passés entre les mailles du filet, ou tout simplement pas complètement enlever.

 

Merci d'avance

 

Voici les logs :

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3289

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

21/12/2009 15:23:41

mbam-log-2009-12-21 (15-23-41).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 239629

Temps écoulé: 1 hour(s), 0 minute(s), 8 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{511f9316-771b-4953-a268-1c36da667fe9} (Trojan.Dialer) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Le deuxième :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:27:25, on 21/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe

O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ASuite] E:\LiberKey\Apps\Asuite\LKrun.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe

O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O4 - Global Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0C71BDAA-5B30-4E12-A317-D225FEB9A068} (AxVideoView Control) - http://192.168.0.224/AxViewer/AxVideoView.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120038735776

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{8864BB57-7B4A-4EBD-8BCC-FD1235222657}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5332A2-7F89-4F36-93BE-99F486B93AC6}: NameServer = 172.16.150.104

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7D6DA3-F480-4515-B9B1-053B4356335A}: NameServer = 172.16.150.104

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe

O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe

O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE

O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE

O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe

O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe

O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

 

--

End of file - 5912 bytes

Modifié le 23 décembre 2009 par greenman

[Loicdem]

Bonjour,

 

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

 

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

 

▶ double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

 

choisis la langue puis choisis l'option 1 = Mode Recherche

 

▶ laisse travailler l'outil

 

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

 

▶ Poste le contenu du rapport qui s'ouvre

[greenman]

C'est en cours, un dernier scan antivir a mis en évidence que le fichier pagefile.sys n'a pu être controlé, j'ai déjà lu quelque part qu'il pouvait êtr'e source de problème....

[Loicdem]

Il peut être source de prb mais c'est normal qu'il puissent pas le lire

[greenman]

Le scan ne devrait plus tarder, je le transfert sur mon poste (le pc infecté n'est pas le même que celui ou j'écris, les transferts se font avec une clef sécurisé selon le tutoriel de ce site) et je le colle dans mon prochain message, en tout ca merci pour la rapidité de réponse!

[Loicdem]

Ok, et merci de suivre mes instructions

[greenman]

Mince, j'avais désactivé mes connexions réseaux, ça ne posera pas de problème? j'ai l'impression que le test infections traîne...

[Loicdem]

Patiente, il est toujours long !

Non, c'est pas grave tant que ton AV et ton AS soit désactiver

[Gof]

Rebonjour tout le monde,

 

Et stop !

 

@Loicdem : ici, comme ailleurs -notamment chez Malekal morte d'où tu viens juste d'arriver - seuls les personnes autorisées à prendre les sujets en charge prennent les sujets en charge... Pour les raisons suivantes, expliquées ici : Faq - Fonctionnement de la section. Nous ne pouvons pas te laisser prendre un sujet en charge, sans savoir d'où tu viens, et si tu es en mesure d'accompagner efficacement et sereinement la désinfection jusqu'au bout. Il n'y a pas de malice à y voir, juste une garantie de minimum de sérénité pour ceux qui viennent demander un coup de main.

 

EDIT : je laisse à Le sioux la prise en charge

[Loicdem]

D'ac Tenez : http://www.commentcamarche.net/u/Loicdem

 

je vous laisse continuer la désinfection !