Infection : win32:Cycler-H

[fjorge]

Bonjour,

depuis ce week-end, j'ai semble-t-il un problème de virus (win32:Cycler-H [Trj] d'après Avast) sur mon pc.

Il m'indique les fichiers infectées suivants :

C:\System Volume Information\Microsoft\services.exe Menace:win32:Cycler-H [Trj]

C:\System Volume Information\Microsoft\smss.exe Menace:win32:Cycler-H [Trj]

 

Rem : ça s'est traduit la première fois par l'impossibilité d'utiliser pop-up stopper et donc un afflux important de pub. J'ai été dans l'obligation de le desinstaller car toute page internet était bloquée!

 

J'ai essayé des scans en ligne, en mode normal et en mode sans echec dont certains se sont traduit par la suppression des fichiers mais ils réapparaissent systématiquement après redémarrage!

 

Depuis hier, j'ai également des fenêtres publicitaires qui s'ouvrent alors que je ne suis même pas sur internet!!

 

Je sollicite donc votre aide.

 

Comme préconisé dans la procédure de demande d'aide, je vous joint un log HJT ci-dessous.

 

Merci d'avance.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:31:54, on 29/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\System Volume Information\Microsoft\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\System Volume Information\Microsoft\smss.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ezSP_Px.exe

C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\sony\usbsircs\usbsircs.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\sony\giga pocket\shwserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\sony\vaio media music server\SSSvr.exe

C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe

C:\Program Files\sony\giga pocket\GPVSvr.exe

C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe

C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe

C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe

C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe

C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

C:\Program Files\sony\giga pocket\RM_SV.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Actualité sur Free.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8800

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.free.fr"); (C:\Program Files\Netscape\Users\fjorge\prefs.js)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: Pilote Remocon.lnk = ?

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.0.1.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.asf.fr/AxisCamControl.ocx

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {B0781EB7-16EA-49F1-9C1D-9716D88206CF} (IPCAM Object) - http://82.227.218.47/view.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Giga Pocket Hardware Detector - Sony Corporation - C:\Program Files\sony\giga pocket\shwserv.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sony TV Tuner Controller - Sony Corporation - C:\Program Files\sony\giga pocket\halsv.exe

O23 - Service: Sony TV Tuner Manager - Sony Corporation - C:\Program Files\sony\giga pocket\RM_SV.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Program Files\sony\vaio media music server\SSSvr.exe

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Sony Corporation - C:\Program Files\sony\giga pocket\GPVSvr.exe

O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe

O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

 

--

End of file - 9405 bytes

[pear]

Bonjour,

 

Sous Windows 7

Cliquer sur Explorateur ->Organiser-> Options des dossiers et de recherche->’onglet Affichage :

 

Sous Xp, Vista

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Supprimez:

C:\System Volume Information\Microsoft\services.exe

C:\System Volume Information\Microsoft\smss.exe

[fjorge]

Bonjour,

merci pour votre aide.

j'ai voulu réaliser l'opération que vous me demandiez mais ces options étaient déjà activées.

Par contre lorsque je veux accéder aux fichiers de ce répertoire, j'ai le message "C:\System Volume Information n'est pas accéssible. Accès refusé".

Pourtant lorsque je lance un scan de ce répertoire avec Avast, il me détecte bien les 2 fichiers infectés!

 

Y a-t-il une autre façon de procéder?

 

Merci encore.

[pear]

Bonjour,

 

Clic droit sur C:\System Volume Information->Propriétés->Sécurité

 

Donnez vous le contrôle total.

 

l'onglet Sécurité

Sous Xp pro

décocher "Utiliser le partage de fichiers simples"dans Outils->Options des Dossiers->Affichâge.

 

Sous Xp home

Par défaut, Windows XP Home édition ne gère pas la sécurité des répertoires et des fichiers comme le font NT4, 2000 et XP Pro.

Pour ajouter cette fonction précieuse dès lors que l'ordinateur est en réseau et que l'on veut gérer des droits sur certains dossiers.

Téléchargement Security Configuration Manager

Clic droit sur le bureau->Nouveau dossier

Glissez y scesp4i.exe

et lancez le

sélectionnez SETUP.INF,clic droit->Installer

-A la demande "Souhaitez remplacer le fichier ESENT.DLL", refusez en cliquant sur NON POUR TOUS

-Redémarrer votre poste de travail.

-L'onglet Sécurité est installé.

Modifié le 29 juin 2010 par pear

[fjorge]

Bonjour,

j'ai réaliser la manoeuvre décrite afin de faire apparaitre l'onglet sécurité. J'ai desormais "autorisation pour System : Full control".

Mais j'ai malheureusement toujours le même message pour accéder au répertoire "C:\System Volume Information n'est pas accéssible. Accès refusé".

De plus, je viens de me rendre compte que je n'ai plus de son sur ma machine!!

J'ai d'habitude un "ding" en fin de chargement de fichiers dont je viens de constater l'absence lors du chargement de scesp4i.exe.

Il semblerait que l'infection soit plus sérieuse que ce que je croyais?

[pear]

Je pense que vous vous y êtes mal pris.

Je l'ai fait sans le moindre problème.

 

Suivez ce tutoriel:

Autorisation et restriction des Dossiers et fichiers avec NTFS

Modifié le 29 juin 2010 par pear

[angelique]

'jour Pear , j'vois pas comment t'envoyer un MP désolée .

 

voir: Malekal's forum • TR\Vilsel.aejm, Trojan-Clicker.Win32.Cycler Whistler Bootkit : Sécurité : Prévention, virus & arnaques et dangers d'Internet

[fjorge]

Je viens de lire le tuto et j'avoue n'avoir pas tout compris!

 

lorsque je clique droit sur C:\System Volume Information->Propriétés->Sécurité, j'ai un seul "nom d'utilisateur ou de groupe" : c'est SYSTEM.

Alors que quand je fait la même opération sur C:\, j'en ai plusieurs dont Administrateurs et Utilisateurs.

 

ça ne viendrait pas du fait qu'il n'y ait pas le groupe "Utilisateurs" dans C:\System Volume Information, qui m'empecherait d'avoir accès à ce répertoire?

 

Je n'ai toujours eu qu'une seule session sur cette machine, je pensais donc avoir les droits administrateurs avec ma session.

[fjorge]

Bonsoir Pear,

j'ai bien eu votre MP et je viens de vous répondre.

J'attends la marche à suivre car j'ai semble-t-il plus de monde que prévu

 

PS : Merci également à Angélique.

 

Rem : est-ce que ce genre d'infection touche également les supports amovibles (DD externe et clés USB)?

Cette question est lié au fait que je souhaiterais pouvoir faire quelques sauvegardes de données précieuses avant l'opération de désinfection du Rootkit qui est semble-t-il à risque pour le disque et je ne voudrais pas réinfecter mon unité de sauvegarde.

Modifié le 30 juin 2010 par fjorge