Hacktool.rookit, encore

Kdor · le 25 juin 2005

Salut,

Je suis moi aussi infecte par le tres desagreable Hacktool.rookit (c'est comme ca que NAV l'appelle).

J'ai lu le post du forum, mais mon analyse Hijackthis ne correspond a aucune de celle donnees.

est-ce que quelqu'un pourrait me donner un coup de main, NAV etant totalement inefficace.

Voici mon analyse Hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 15:26:02, on 25/06/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\pctspk.exe

C:\PROGRA~1\NORTON~2\navapw32.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr3.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr3.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr3.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Si par ailleurs quelqu'un connait une methodologie d'analyse de ces log, je suis interesse par apprendre... parce que vu comme ca, c'est pas tres parlant !

Une derniere question : j'ai reinstalle mon systeme, mais Hacktool.Rootkit était déjà présent au démarrage : est-ce possible ou est-ce que je me suis plante dans le processus ?

Merci d'avance pour votre aide, les fenetres d'avertissement NAV commencent a me taper serieusement sur le systeme

Kdor

le 25 juin 2005

Bonjour, télécharge installe et mets à jour cet utilitaire:

Ewido

http://www.ewido.net/en/download/

A la fin de son analyse colle son rapport avec un nouveau rapport Hijackthis effectué en mode sans échec.

Pour l'analyse voir ici:

http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

Bonne lecture...

Modifié le 25 juin 2005 par Stonangel

Kdor · le 26 juin 2005

Bonjour Stonangel,

Merci pour ta réponse. Comme indiqué sur le site (merci pour le lien), j'ai auparavant fait tourner Easycleanner, Ad-aware et Spybot... en revanche, il va me falloir un moment avant d'integrer toute l'info d'analyse... j'ai donc grandement besoin de ton coup de main !

J'ai téléchargé Ewido et voici le rapport qu'il me donne :

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

+ Créé le: 12:59:57, 26/06/2005

+ Somme de contrôle: 2B9E195B

+ Date des signatures: 26/06/2005

+ Version du moteur de recherche: v3.0

+ Temps: 11 min

+ Fichiers scannés: 40720

+ Vitesse: 57.72 Fichiers/Secondes

+ Fichers infectés: 9

+ Fichiers supprimés: 9

+ Fichiers mis en quarantaine: 9

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 0

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

+ Elements scannés:

C:\

+ Résultats du scan:

C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1626.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1643.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1685.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1727.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1761.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1411071275-622697513-334337264-1003\Dc1763.txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\msmsgs.exe -> TrojanDownloader.Zlob.G -> Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\service.exe -> Backdoor.RBot.Generic -> Nettoyer et sauvegarder

::Fin du rapport

J'ai aussi fait tourner Hijackthis en mode sans echec, et voici le rapport :

Logfile of HijackThis v1.99.1

Scan saved at 13:15:37, on 26/06/2005