Résolu - infection DCOM Exploit détectée par avast

[Apollo]

Re,

 

J'ai eu quelques infos

 

On va passer MalwareBytes et on va voir ce qu'il va pouvoir faire.

 

On prendra alors des mesures supplémentaires en cas d'échec de ce dernier.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[bellouss]

Encore merci Apollo.

En attendant la réponse, j'ai relancé findykill avec l'option 2.

Au bout de 2h30mn, il s'est terminé apparemment bien.

 

Si cela peut faire avancer .....

 

Demain je fais les instructions de tes posts de 18h59 et 20h04, je suis obligé de partir.

 

Donc je joins le rapport :

 

############################## | FindyKill V5.037 |

 

# User : Patrick (Administrateurs) # PATRICK-PC

# Update on 18/02/2010 by El Desaparecido

# Start at: 18:44:44 | 03/03/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Pentium® Dual-Core CPU E5400 @ 2.70GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 459,45 Go (406,72 Go free) [Acer] # NTFS

# D:\ # Disque fixe local # 459,96 Go (384,64 Go free) [DATA] # NTFS

# E:\ # Disque CD-ROM

# F:\ # Disque amovible

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible # 3,72 Go (1,86 Go free) [KINGSTON] # FAT32

# L:\ # Disque amovible

 

############################## | Processus actifs |

 

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\Windows\SysWOW64\runonce.exe

C:\Program Files (x86)\Acer\Registration\GregHSRW.exe

C:\Program Files\Alwil Software\Avast5\setup\avast.setup

C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe

C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe

C:\Program Files\Acer\Acer Updater\UpdaterService.exe

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

 

################## | C: |

 

 

################## | C:\Windows |

 

 

################## | C:\Windows\Prefetch |

 

 

################## | C:\Windows\system32 |

 

 

################## | C:\Windows\system32\drivers |

 

 

################## | C:\Users\Patrick\AppData\Roaming |

 

 

################## | MD5 ... |

 

 

################## | CRC32 ... |

 

Cleaned : D:\PATRIC~1\BACKUP~1\BACKUP~2\BACKUP~1.ZIP

-> Supprimé ! C\Users\Patrick\AppData\Roaming\drivers\downld\34507.exe |Size : 1110020 |With bagle CRC32 : 2144DF1C

 

Cleaned : D:\PATRIC~1\BACKUP~1\BACKUP~2\BACKUP~1.ZIP

-> Supprimé ! C\Users\Patrick\AppData\Roaming\drivers\downld\55895.exe |Size : 1560580 |With bagle CRC32 : 2144DF1C

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

Supprimé ! [HKCU\Software\bisoft]

Supprimé ! [HKCU\Software\WS4001]

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\keygen]

Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

 

################## | Etat |

 

# Mode sans echec : OK

 

 

# Affichage des fichiers cachés : OK

 

# Uac : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | Fichiers corrompus # Réinstallation requise |

 

... OK !

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Patrick-PC.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # FindyKill V5.037 ! |

[Apollo]

Re,

 

Ca c'est bien! C'était donc uniquement une question de patience et cela va grandement faciliter la suite des opérations.

 

As-tu pensé à faire ceci?

 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Patrick-PC.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

C'est très utile pour le développeur de l'outil.

 

Si le Zip_Scan ne donne toujours rien, ce sera très bon signe mais tu pourras quand-même faire l'analyse complète selon les instructions plus haut avec MalwareBytes.

 

Ne passe pas d'autres options de zip_scan sans avis stp.

 

Après ça, il faudra songer à installer un antivirus plus sérieux qu'Avast, mais comme je te l'ai dit au début, ne fais pas d'analyses complètes avant d'en avoir reçu l'instruction, de façon à ne pas liquider une chose ou l'autre qui serait légitime.

 

Mais les analyses précédentes sont de bon augure.

 

Je pense à remplacer Avast par Antivir avec ton accord bien sûr.

 

Des instructions d'installation et de configuration te seront données au bon moment.

 

Bonne soirée.

 

@++

[bellouss]

Bonjour Apollo,

 

Oui j'ai envoyé les fichiers à Findykill (celui d'hier et celui de ce matin), cela me semble évident et la moindre des choses.

 

J'ai, donc effectué, selon tes conseils, les manip suivantes :

 

-Suppression de Open Office

-démarrage en mode sans échec

-scan avec Findykill

 

J'attends les instructions avant de lancer les opérations décrites lors de ton mail de 20h04 hier.

 

Je joins le fichier .txt ci-dessous :

 

############################## | FindyKill V5.037 |

 

# User : Patrick (Administrateurs) # PATRICK-PC

# Update on 18/02/2010 by El Desaparecido

# Start at: 08:53:39 | 04/03/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Pentium® Dual-Core CPU E5400 @ 2.70GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 459,45 Go (406,68 Go free) [Acer] # NTFS

# D:\ # Disque fixe local # 459,96 Go (384,64 Go free) [DATA] # NTFS

# E:\ # Disque CD-ROM

# F:\ # Disque amovible

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible # 3,72 Go (1,86 Go free) [KINGSTON] # FAT32

# L:\ # Disque amovible

 

############################## | Processus actifs |

 

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\Program Files\Alwil Software\Avast5\setup\avast.setup

C:\Program Files (x86)\Acer\Registration\GregHSRW.exe

C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe

C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe

C:\Program Files\Acer\Acer Updater\UpdaterService.exe

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

C:\Windows\SysWOW64\runonce.exe

 

################## | C: |

 

 

################## | C:\Windows |

 

 

################## | C:\Windows\Prefetch |

 

 

################## | C:\Windows\system32 |

 

 

################## | C:\Windows\system32\drivers |

 

 

################## | C:\Users\Patrick\AppData\Roaming |

 

 

################## | MD5 ... |

 

 

################## | CRC32 ... |

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

 

################## | Etat |

 

# Mode sans echec : OK

 

 

# Affichage des fichiers cachés : OK

 

# Uac : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | Fichiers corrompus # Réinstallation requise |

 

... OK !

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Patrick-PC.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # FindyKill V5.037 ! |

[Apollo]

Bonjour,

 

Merci pour l'envoi de fichier.

 

Je te suggère de repasser la même option de Zip_Scan (comme hier.)

Si son résultat est tout aussi vide que la première passe, tu pourras alors lancer l'analyse complète avec MalwareBytes AM.

 

Relis bien les instructions et fais bien ce qui est indiqué en rouge pour ne pas devoir recommencer cette analyse.

 

Selon le rapport, nous verrons si on peut changer l'antivirus puis lancer une analyse complète avec lui sans danger pour tes données légitimes.

 

Bonne journée.

 

@++

[bellouss]

la même opération que ce matin mais en mode normal au lieu de sans échec ?

[bellouss]

Re,

J'ai donc démarré windows 7 normalement et fait Findykill option 2.

Voici le rapport :

 

############################## | FindyKill V5.037 |

 

# User : Patrick (Administrateurs) # PATRICK-PC

# Update on 18/02/2010 by El Desaparecido

# Start at: 11:18:27 | 04/03/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Pentium® Dual-Core CPU E5400 @ 2.70GHz

# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #

# Internet Explorer 8.0.7600.16385

# Windows Firewall Status : Enabled

 

# C:\ # Disque fixe local # 459,45 Go (407,01 Go free) [Acer] # NTFS

# D:\ # Disque fixe local # 459,96 Go (384,64 Go free) [DATA] # NTFS

# E:\ # Disque CD-ROM

# F:\ # Disque amovible

# G:\ # Disque amovible

# H:\ # Disque amovible

# I:\ # Disque amovible

# J:\ # Disque amovible

# K:\ # Disque amovible # 3,72 Go (1,86 Go free) [KINGSTON] # FAT32

# L:\ # Disque amovible

 

############################## | Processus actifs |

 

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\Program Files\Alwil Software\Avast5\setup\avast.setup

C:\Program Files (x86)\Acer\Registration\GregHSRW.exe

C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe

C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe

C:\Program Files\Acer\Acer Updater\UpdaterService.exe

C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

C:\Windows\SysWOW64\runonce.exe

 

################## | C: |

 

 

################## | C:\Windows |

 

 

################## | C:\Windows\Prefetch |

 

Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-482730A2.pf

 

################## | C:\Windows\system32 |

 

 

################## | C:\Windows\system32\drivers |

 

 

################## | C:\Users\Patrick\AppData\Roaming |

 

 

################## | MD5 ... |

 

 

################## | CRC32 ... |

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

 

################## | Etat |

 

# Mode sans echec : OK

 

 

# Affichage des fichiers cachés : OK

 

# Uac : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# windefend -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | Fichiers corrompus # Réinstallation requise |

 

... OK !

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Patrick-PC.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # FindyKill V5.037 ! |

[Apollo]

Re,

 

Non, FindyKill n'était plus nécessaire. (edit: quoique...)

 

poursuis avec MBAM stp.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

@+tard.

Modifié le 4 mars 2010 par Apollo

[bellouss]

voilà le rapport

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3823

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

04/03/2010 13:11:18

mbam-log-2010-03-04 (13-11-18).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 256512

Temps écoulé: 23 minute(s), 58 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018b7ec3-eeca-11d3-8e71-0000e82c6c0d} (Adware.ISTBar) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cisvc (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ieudinit (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\sessmgr (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Program Files (x86)\Live_TV (Trojan.Agent) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files (x86)\Live_TV\INSTALL.LOG (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\cisvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\ieudinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\sessmgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

je redémarre l'ordinateur

[Apollo]

Ok,

 

Ton antivirus est Avast.

 

Avast n'est pas sûr en ce moment. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

 

Je pense qu'il serait mieux protégé avec Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

 

• Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
  
• Redémarre le PC pour achever la désinstallation
  
• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.