Virus/Trojan ?

[ipl_001]

Bonsoir Metalyn,

 

Encore quelques lignes à fixer... réponse d'ici quelques minutes !

[ipl_001]

Rebonsoir Metalyn, rebonsoir à tous,

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes :

--- tu as toujours 2 pare-feux !

 

Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

 

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - (no file)

 

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\awtqq.dll (file missing)

 

O20 - Winlogon Notify: awtqq - C:\WINDOWS\system32\awtqq.dll (file missing)

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?

[Mark]

Bonsoir à tous ;

 

Je voulais simplement vous donner des infos supplémentaires sur cette peste de Vundo. Je connais bien le créateur de VundoFix, et je m'amuse beaucoup avec cette infection sur quelques forums, de l'autre côté de l'Atlantique. Atri a modifié son tool il y a quelques jours, alors les données ont changé quelque peu. VundoFix est maintenant offert en version 2.15, et les manips sont semblables (fini le F6 et le "Blue screen of death", car le tool est amélioré..). Il suffit d'aller sur son forum (Atribune.org) et de regarder quelques logs sur la première page de sa section malware pour observer les changements.

 

Dans votre cas ici, la manip de Charles a marché (post #14 ) et KillBox n'était pas nécessaire. Fallait simplement fixer (HijackThis!) les O2 et O20 avec "(file missing)" en mode normal, puis passer un coup de Cleanup! (ou celui de votre choix), puis un ActiveScan chez Panda. Si un .dll apparaît dans le log de Panda, seulement le supprimer normallement, ou bien passer un coup d'Ewido pour nettoyer le tout.

 

Il semble y avoir un accalmie du côté de Vundo depuis quelques jours. Il était temps..

 

Atribune préfère garder un contrôle plutôt serré sur l'utilisation de son tool, mais il ne viendra pas ici pour vous en empêcher ! Je me fais son ambassadeur, en quelque sorte, puisque vous avez mis la main sur VundoFix. Nous voulons tous éradiquer cette peste, finalement.

 

Un de vos membres distingués affiche un citation de BudFred dans sa signature ? Intéressant... Vous fréquentez le Boot Camp ?

 

Allez, retournons tous au front maintenant..

Modifié le 21 octobre 2005 par Qc001

[Thanos]

salut Qc001 et bienvenue sur le forum

 

Merci pour ton intervention et cette nouvelle interressante! Voilà qui va plaire à ipl!

 

On va modifier en conséquence(je viens d'aller jeter un oeil chez Atri!)

 

Merci encore

[Mark]

Y a pas de quoi Charles

 

Ce topic n'est peut-être pas le bon endroit pour parler de L2M, mais je prends deux secondes quand même... La nouvelle variante de ce monstre refuse de partir avec L2MFix ; Shadowwar travaille sur l'évolution, et devrait la présenter ces jours-ci. Le problème est avec guard.tmp, qui refuse de décoller. Si vous en voyez, passez un coup de L2MFix (option #1, puis #2 si .dll identifié), et après, passez le nouveau Spy Sweeper (de WebRoot), version d'essai 4.5, qui éradique maintenant la nouvelle variante (en mode normal ça ira..).

 

Sympa votre board ; continuez votre excellent travail ! Je vais tenter de vous tenir au courant des modifs apportées à VundoFix dans le futur

[Metalyn]

voila jai fai un nouveau scan.

Pr le parfeux, j'ai pr tant desinstaller kerio, mais il aparait tjs dans mon scan:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:27:51, on 22/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Acer\eManager\anbmServ.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\SpywareGuard\sgmain.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://createpdf.adobe.com/?Language=ENU

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[Thanos]

salut Metalyn

 

désolé de pas t'avoir répondu plus tôt! je viens de redécouvrir le forum sécu qui a bien changé!

 

J'analyse ton log!

[Thanos]

Ton log ne montre plus d'infection! vundo a disparu on dirait!

 

Il faut que tu désinstalle le reste de kério!

 

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

 

Est ce que tu est passé par Install/désinstallation de programmes?

 

Si tu y trouve kério, désinstalle le.

 

 

Vas dans =>C:\Program Files\Kerio et regarde si tu as un fichier "désinstaller" ou "uninstall" . Si il est

 

présent utilise le pour que l'assistant désinstalle le programme. Sinon elimine ce dossier :Kerio Puis

 

va dans démarrer=>éxécuter : tapes cmd =>

 

sc stop Kerio Personal Firewall 4

sc delete Kerio Personal Firewall 4

 

Un message doit t'avertir du succès de l'opération. Passe ensuite un coup d'Easycleaner pour nettoyer les

 

restes de la base de registre. As tu fais un scan en ligne?

 

Par ailleurs pourrait tu copier /coller le contenu de ton fichier Hosts pour voir si il est propre?

 

Est ce que ton pc fonctionne correctement maintenant?

[Metalyn]

jai fai un scan, qui me detecte pas mal de chose:

 

 

Incident Status Location

 

Adware:adware/ist.yoursitebar Reported Windows Registry

Spyware:Cookie/Apmebf Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@apmebf[1].txt

Spyware:Cookie/Falkag Reported C:\Documents and Settings\Dark Slut\Cookies\dark [email protected][1].txt

Spyware:Cookie/Adtech Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@adtech[1].txt

Spyware:Cookie/Statcounter Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@statcounter[1].txt

Spyware:Cookie/Weborama Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@weborama[2].txt

Spyware:Cookie/Bluestreak Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@bluestreak[1].txt

Spyware:Cookie/Apmebf Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@apmebf[1].txt

Spyware:Cookie/Falkag Reported C:\Documents and Settings\Dark Slut\Cookies\dark [email protected][1].txt

Spyware:Cookie/Adtech Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@adtech[1].txt

Spyware:Cookie/Statcounter Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@statcounter[1].txt

Spyware:Cookie/Weborama Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@weborama[2].txt

Spyware:Cookie/Bluestreak Reported C:\Documents and Settings\Dark Slut\Cookies\dark slut@bluestreak[1].txt .

en ce qui concerne kerio, je n'ai pas reussi a le desinstal par ajout/sup. de prg, sa plante a chaque foi, mais par contre jai reussi avec le ajout/supr de easycleaner, et jai ensuite effacé le dossier et fai le fix a la ligne que tu ma dit, j'espere que sa ira.

 

 

 

en ce qui concerne le fichier hosts, il n'y a que ladresse locale 127.0.0.1

 

par contre plein d'adressses dans hosts.anc (je sais pas si c important mais prefere le preciser)

 

sinon la ligne de kerio revien tjs dans les scan av hijackthis

[Thanos]

salut Metalyn

 

Pour ce rapport rien d'inquiêtant! Tu peux nettoyer tous ces cookies manuellement ou utiliser un

 

utilitaire tel que cleanup40:

 

-Télécharge Clean Up 40 et installe le dans un répertoire à lui:

http://www.stevengould.org/software/cleanup/

 

 

Ouvre CleanUp40 et vas sur "clean up custom" et assure toi queseules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

ipl t'avais fait renommer ton fichier hosts en "hosts.anc " il n'est donc plus actif tu vas pouvoir l'éliminer

 

(le fichier" hosts.anc "!)

 

Un reste de yoursitebar dans le rapport, on va faire une recherche dans ta base de registre:

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle yoursitebar dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

edit :on va voir pour virer kério par la suite!

Modifié le 23 octobre 2005 par charles ingals