Processus suspects: ssms, service, lssas, csrs

cinnamoons · le 11 mars 2005

J'ai besoin d'un coup de main pour me débarasser d'un ou plusieurs vers qui ont apparemmetn infecté mon PC (malgré Norton Anti Virus, Norton Firewall et Adwatch).

Il ya 2 jours, j'ai remarqué que des processus suspects tournaient dans mon Gestionnaire de tâches. Par 'suspects', je veux dire qu'ils avaient des noms qui ressemblaient étrangement à ceux d'autres processus connus. J'ai fait une recherche Google et ils étaient effectivement mentionnés sur plusieurs sites comme des symptomes de 4 vers différents... Et juste comme je finissais un scan avec Norton!

Les processus en question étaient :

ssms.exe

service.exe

lssas.exe

csrs.exe

J'ai terminé the processus et essayé de chercher de plus amples informations et de faire un scan online avec Panda mais mon Internet Explorer a commencé à déconner (en ajoutant un espace devant toutes les urls que je tapais) et les processus de Norton ont tous été terminé.

Depuis, j'ai essayé plusieurs trucs mais je ne suis pas sûr de ce que je dois faire

Jusqu'ici, voilà ce que j'ai fait...

1- J'ai désactivé la restauration du système et redémarré en mode sans echec

2- J'ai installé Kaspersky et fait un full scan. Il a trouvé plusieurs vers dans des installeurs et des archives qui étaient sur mon PC depuis des mois (et avaient été scannés par Norton au moins 30 fois!) mais aucun dans le dossier Windows/System32, ce qui est plutôt inquiétant vu que

a) les fichiers infectés étaient encore bien là (mais désactivés dans le gestionnaire de tâches)

b) quand j'avais scanné les fichiers en question sur Kaspersky.com, il les signalait infectés!

3- Puisqu'aucun Anti virus n'avait l'air de vouloir le faire, j'ai supprimé manuellement les processus mentionnés du dossier System32 (sauf lssas.exe que je ne retouve pas depuis que j'ai rebooté en mode sans échec)

4- J'ai lancé le Fix pour Gaobot de Symantec (qui est censé réparer les variantes de ce vers lié à csrs.exe) mais il n'a rien trouvé.

5- J'ai lancé le dernier Trend Micro Sysclean mais il n'a rien trouvé non plus et il a loggé un nombre alarmant d'erreurs de scan pour plusieurs dossiers dans Windows (y compris \Prefetch ; System32\config and \$NtUninstallKB837001$)

6- J'ai cherché les valeurs ssms.exe; service.exe; lssas.exe and csrs.exe dans le Registre avec Regedit and j'aen ai trouvé plusieurs mais je ne suis pas sûr de ce qu'il faut faire et je ne voudrais pas fiche en l'air mon Registre. Voilà les clés que j'ai trouvées

ssms.exe (Nom ImagePath; Données "C:\WINDOWS\system32\SSMS.EXE")

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service

service.exe (Nom ImagePath; Données "C:\WINDOWS\system32\service.exe")

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC

lssas.exe (Nom Application; Données LSSAS.EXE)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Parameters

csrs.exe (Nom Runfile; Données "C:\WINDOWS\system32\csrs.exe")

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Uninstall\mIRC (Nom UninstallString; Données "C:\WINDOWS\system32\csrs.exe" -uninstall)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Parameters

Okay... donc ils on l'air bien liés, même si c'est du chinois pour moi, on voit bien qu'il y a 2 trucs séparés...

7- Enfin, j'ai lancé HijackThis et obtenu ce log

Logfile of HijackThis v1.99.1

Scan saved at 16:49:53, on 11/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogonUIBootRandomizer] "C:\Program Files\LogonUIBootRandomizer\RandomScreens.exe" /RandomizeLogon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe

O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [backupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft OfficeXP\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2042B57E-6336-459E-B7CE-2A0F6C9E6AF8} (IEPlayInterface Class) - http://www.lotrdvd.com/dvdkey/extended_dvd...ds/iaieplay.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094220671625

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...443/mcfscan.cab

O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D20EF50-B4E6-4DA3-9648-DB1954A89439}: NameServer = 130.244.127.161,130.244.127.169

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing)

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Bon, je suis novice en ce qui concerne HiJackThis mais ces trucs me semblent bizarres