Trojan RootKit.Agent.Q

[mike80]

Salut Pollux, c'est sympa de t'occuper demoi !

je vais cependant devoir m'absenter entre 1h et 1h30 , je me reconnecte aussi vite d'ici ce temps la !

Ne me laisse pas tomber pour autant stp, donne moi les procédures a suivre qd même et je les appliquerais au plus vite !

merci , j'attends d'abord ta rep !

mike80

[Jack_Burton]

Salut Pollux, c'est sympa de t'occuper demoi !

j

Ne me laisse pas tomber pour autant stp

571113[/snapback]

Bonsoir Mike y a aucun risque pour ca, sur zebulon la solidarité regne

Et meme si notre ami pollux devait s absenter, quelqu un prendrait le relais donc aucun soucis

Allez hop, je m éclipse et je laisse la place a pollux

Modifié le 13 septembre 2005 par Jack_Burton

[mike80]

je pars dc et revient d'ici 1h , merci a tous et a tout a l'heure !

[Pollux_63]

rebonjour

 

(imprime ces instructions, ou sauvegarde les dans un fichier texte de façon à pouvoir les consultées en mode sans échec)

 

1/ tout d'abord installe HJT correctement. c'est à dire pas dans un dossier temporaire ni sur le bureu. Ex: C:\HijackThis\HijackThis.exe

 

2/ télécharge About:Buster

http://downloads.subratam.org/AboutBuster.zip

Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour

 

3/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

4/ Désintalles ces programmes par le panneau de configuration:

 

- Easy PDF Creator (sauf si installé volontairement)

- Spyware Remover (faux utilitaire de sécurité)

- MNPAntiSpy (???? c'est quoi de programme)

 

5/ Redémarre en mode sans échec.

 

6/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

7/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hgvsc.dll/sp.html#93256

 

O2 - BHO: Class - {69A989AD-BFBB-9324-846E-194CABCE649B} - C:\WINDOWS\system32\ntmr32.dll

 

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [frymxins] "C:\Program Files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"

O4 - HKLM\..\Run: [FRYHIGHRES] rundll32 "C:\Program Files\ATI Technologies\Fire GL Control Panel\atipmogl.dll",DetectHighResMonitor

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Easy PDF Creator] C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe

O4 - HKLM\..\Run: [nttn32.exe] C:\WINDOWS\nttn32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [lycosInside] C:\Program Files\lycos\Lyc_SysTray.exe

O4 - HKCU\..\Run: [spyware Remover] C:\Program Files\PAL SPYREM\spyrem.exe

O4 - HKCU\..\Run: [MNPAS] C:\Program Files\MNPAntiSpy\MNPAntiSpy.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html...FR_ZNxmk044YYFR

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

 

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101659592953

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

 

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winru.exe" /s (file missing)

O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

 

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

8/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

- C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe (sauf si installer volontairement)

- C:\Program Files\PAL SPYREM <-- le dossier

- C:\Program Files\MNPAntiSpy <-- le dossier

- C:\WINDOWS\winru.exe <-- le fichier

- C:\WINDOWS\system32\UStorSrv.exe <-- le fichier

 

9/ Renomme le fichier suivant (il m'est inconnu, donc je veut pas le perdre)

 

- C:\WINDOWS\nttn32.exe renomme le en: nttn32-exe.anc

 

10/ Exécute About:Buster à deux reprises

 

11/ Supprime ce fichier (s'ils existent encore)

 

- C:\WINDOWS\hgvsc.dll <-- le fichier

 

11/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

12/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis (fais en mode sans échec) à titre de vérification.

 

 

PS: pfffff, j'ai cru que je m'en sortais pas

Modifié le 13 septembre 2005 par Pollux_63

[mike80]

resalut,

excuse moi pour le message précédent, c'est bon , les liens refonctionnent !

C'est impecc !

J'ai pris note de tes instructions a suivre mais je ne suis actuellement pas au labo aujourd'hui, j'y serais demain.

Je ferai donc tt ca demain !

Cependant , l'ordinateur de ma femme est infecté aussi , je peux donc t'envoyer le log ?

 

mike80

[Pollux_63]

resalut mike80.

 

c'est une bonne nouvelle que les liens fonctionnent

 

Pour le log HJT de ta femme tu peux nous l'envoyé sans problème, mais en créant un nouveau sujet (en utilisant le bouton "nouveau" en haut de page) afin que l'on ne s'y perde pas.

[mike80]

ok je fais de suite !

[mike80]

Voila le nouveau sujet est créé !

[mike80]

re salut pollux et autres ,

Voici comme convenu le log apres ttes les manip que tu m'as consillées :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:40:21, on 15/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyweb.utc.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe

O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraMD.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [addiy.exe] C:\WINDOWS\addiy.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winru.exe" /s (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab7\webserver\bin\win32\matlabserver.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

est-ce bon ?

[Pollux_63]

salut.

 

je regarde ton rapport, réponse dans quelques instants.