Infection Trojan (msdirectx.sys plus precisement)

[Iaamu]

Bonjour a tous !

 

Me voila infecte par une saloperie de Trojan, j'ai surfe sur un nombre incalcubalble de sites et j'ai suivi les procedures qui sont preconises dans le cas d'une infection de virus type msdirectx.sys.

 

J'ai parametre windows pour activer les fichiers caches, desactive les points de restauration etc...

Puis j'ai scanne mon systeme avec un logiciel nomme sysclean qui a decouvert l'existance de deux trojans qu'il a selon lui efface. Cependant quand je lance une recherche dans windows le fichier msdirectx.sys est toujours la quelque part dans Windows/syst32. Toutes ces manipulations ont ete faites en safe mode.

Apres avoir "efface" ces virus j'ai lance le logiciel regsearch qui a trouve ceci :

 

[HKEY_USERS\S-1-5-21-1708537768-1500820517-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="msdirectx.sys"

 

[HKEY_USERS\S-1-5-21-1708537768-1500820517-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]

"a"="msdirectx.sys\\1"

 

Voici mon log Hi Jack Log, pourriez vous m'aider a dechirer toutes ces lignes et virer

ce virus.

 

Logfile of HijackThis v1.99.1

Scan saved at 9:45:25 AM, on 7/2/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\sysmon32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\WScript.exe

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

C:\suck my dick\Tools 2\Hijack\alex.exe

C:\Program Files\Ahead\Nero\nero.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm

F2 - REG:system.ini: Shell=Explorer.exe sysmon32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [DeltTray] DeltTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [autohk] autohk.exe

O4 - HKLM\..\Run: [system Retore] Remote.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [system Retore] Remote.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

[Thanos]

salut iaamu,t'es tres mal (je blagouse!)

 

est ce que tu as viré tout tes fichiers temporaires et fait un "cleanMgr" en mode sans échec,ainsi qu'un scan Antivir pour nettoyer un peu?

 

ca=>C:\WINDOWS\System32\WScript.exe

 

et ca=>C:\WINDOWS\System32\sysmon32.exe

 

ca a l'air louche(entre autres!): WScript.exe correspond au virus JS/Gorum-A:

 

un moyen de t'en débarrasser ici:http://www.sophos.fr/virusinfo/analyses/jsgoruma.html

 

sysmon.exe correspond peut-être au virus w32.aidid:

 

dans=>C:\Windows\System32 (il ajoute la valeur :

 

"SystemMonitor"="%System%\SYSMON32.exe" ; à la clé du registre :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour

 

exécuter le virus chaque fois Windows démarre).

 

donc la ligne:F2 - REG:system.ini: Shell=Explorer.exe sysmon32.exe est à virer si

 

mes infos sont bonnes.

 

celui là :C:\suck my dick\Tools 2\Hijack\alex.exe

 

franchement c'est mon préféré comme dirait l'autre ça me trou le cul!

(mais ca n'as pas l'air méchant,un rapport avec les échecs ce alex.exe?)

 

Attends les conseils d'un pro du hijack pour agir stp et si ca n'a pas été fait, je

 

t'invite à faire ces quelques manips avant:http://forum.zebulon.fr/index.php?showtopic=69176

 

c'est l'ami mégataupe ,grand gourou,qui nous l'a pondu

 

@+

[Iaamu]

Bonjour Charles !

 

Merci pour ta reponse, en effet il semble que j'ai plusieurs virus, j'ai tente un scan avec anivir et il a decouvert le trojan suivant :

TR/Spyagent.dg.2.B

 

QUi etait nomme

"JS/Dldr.lstbark.K.2" lors du scan en safe mode.

 

J'ai tout essaye, je suis alle dans la base de registre et j'ai suivi les chemins donne par reg machin truc et j'ai efface manuellement le msdirectx.sys mais il revient au demarrage, depuis que j'ai installe antivir une alerte se repette toutes les 10 minutes et m'annonce que le virus TR est encore dans mon systeme. J'ai egalement utilise le logiciel Kill Box et cocher l'option "Delete on Boot" qui n'a helas servi a rien.

J'ai vire tous les fichiers temporaires manuellement et en utilisant CC Cleaner, adware quant a lui retrouve toujours le meme fichier dans les elements a risque.

 

Qu'est-ce que le "cleanMgr" ?

 

 

Le fichier alex.exe c'est en fait Hijack rennome, j'ai vu sur certrains forums qu'il etait parfois utile de rennomer Hijack car le virus le reconnait et le ferme automatiquement, pas de soucis de ce cote la.

 

Je teste les manips de Mega Taupe et j'attend vos infos et encore merci !

Modifié le 2 juillet 2005 par Iaamu

[angelique]

<<Qu'est-ce que le "cleanMgr" ?>>

 

executer=cleanmgr reviens à clique droit sur c: nettoyage de disque

[Iaamu]

Ok je viens de tilter !

 

Au passage ANtivir refuse de me supprimer le virus, et ce en mode sans echec.

Modifié le 2 juillet 2005 par Iaamu

[Iaamu]

Le fichier Wscript est loge dans un dossier different de la base de registre cite dans le site precedemment cite, est-ce normal ? ou bien le viruis se cche t-il autre part ?

 

Le fichier Wscript.exe est dans

Hkey_Local_Machine/Software/Microsoft/Windows Scripting Host/location

[megataupe]

Bonjour iaamu, bonjour à tous . Applique la procédure complète pour qu'on y voit plus clair avec le log HJT qui sera généré à la fin.

 

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[Thanos]

salut @ tous

 

Le fichier Wscript.exe est dans

Hkey_Local_Machine/Software/Microsoft/Windows Scripting Host/location

 

celui ci est légitime iaamu, il ne faut donc pas l'effacer!Il sert à exécuter des scripts à

 

l'aide de l'environnement d'exécution de scripts sous Windows.Je faisais allusion aux

 

racourcis donnés sur Sophos.fr=>si tu n'a aucune clé qui correspond , c'est bon signe!!

 

tiens nous au courant

[Iaamu]

Le virus est toujours la helas, que faire....

Si je formate et que je ne connecte pas a Internet il ne reviendra pas ? rassurez moi.

Je ne sais pas quoi faire avec le log, quoi effacer...

[Invité tesgaz]

Le virus est toujours la helas, que faire.... 

Si je formate et que je ne connecte pas a Internet il ne reviendra pas ? rassurez moi.

Je ne sais pas quoi faire avec le log, quoi effacer...

528848[/snapback]

 

Salut,

 

as-tu appliqué la procédure donnée plus haut par mégataupe ?

 

si oui, tu fais un rapport hijackthis en mode sans echec et tu le post ici

Modifié le 3 juillet 2005 par tesgaz