Analyse Log HijackThis

Mark · le 4 novembre 2005

Bonjour Claire, Charles, S.Birkoff ;

Vilaine celle-là... D'après les logs, tu as une infection Look2Me coriace, et Spy Sweeper signale des fichiers de type "rootkit". DllCompare et L2MFix détectent effectivement des fichiers L2M toujours actifs, et le fameux "guard.tmp" ne se pointe pas, ce qui est typique de la nouvelle variante. Hmmm..

Claire, je vais te demander de repasser Spy Sweeper selon les directives du post #6 ; le scan se fait en mode Normal, et quand le programme veut redémarrer à la toute fin, accepte (sinon Look2Me se réinstalle..). Copie/colle le rapport dans ta prochaine réponse stp, et bonne chance

On verra pour la suite !

Claire CHAZAL · le 4 novembre 2005

J'ai lancé sweeper (en mode normal, je n'étais pas en mode sans echec).

Sweeper ne m'a pas demander de redémarrer cette fois!

voici le log de cette session

********

17:37: | Start of Session, vendredi 4 novembre 2005 |

17:37: Spy Sweeper started

17:37: Sweep initiated using definitions version 564

17:37: Starting Memory Sweep

17:40: Memory Sweep Complete, Elapsed Time: 00:02:57

17:40: Starting Registry Sweep

17:41: Registry Sweep Complete, Elapsed Time:00:00:09

17:41: Starting Cookie Sweep

17:41: Found Spy Cookie: adtech cookie

17:41: salmon@adtech[1].txt (ID = 2155)

17:41: Found Spy Cookie: bluestreak cookie

17:41: salmon@bluestreak[2].txt (ID = 2314)

17:41: Found Spy Cookie: casalemedia cookie

17:41: salmon@casalemedia[1].txt (ID = 2354)

17:41: Cookie Sweep Complete, Elapsed Time: 00:00:00

17:41: Starting File Sweep

18:14: File Sweep Complete, Elapsed Time: 00:33:21

18:14: Full Sweep has completed. Elapsed time 00:36:33

18:14: Traces Found: 3

18:16: Removal process initiated

18:16: Quarantining All Traces: adtech cookie

18:16: Quarantining All Traces: bluestreak cookie

18:16: Quarantining All Traces: casalemedia cookie

18:16: Removal process completed. Elapsed time 00:00:04

********

16:00: | Start of Session, vendredi 4 novembre 2005 |

16:00: Spy Sweeper started

16:00: Sweep initiated using definitions version 564

16:00: Starting Memory Sweep

16:04: Memory Sweep Complete, Elapsed Time: 00:03:48

16:04: Starting Registry Sweep

16:04: Registry Sweep Complete, Elapsed Time:00:00:14

16:04: Starting Cookie Sweep

16:04: Found Spy Cookie: bluestreak cookie

16:04: salmon@bluestreak[1].txt (ID = 2314)

16:04: Found Spy Cookie: comclick cookie

16:04: [email protected][2].txt (ID = 2450)

16:04: Found Spy Cookie: tradedoubler cookie

16:04: salmon@tradedoubler[2].txt (ID = 3575)

16:04: Cookie Sweep Complete, Elapsed Time: 00:00:00

16:04: Starting File Sweep

16:32: File Sweep Complete, Elapsed Time: 00:27:34

16:32: Full Sweep has completed. Elapsed time 00:31:24

16:32: Traces Found: 3

16:40: Removal process initiated

16:40: Quarantining All Traces: bluestreak cookie

16:40: Quarantining All Traces: comclick cookie

16:40: Quarantining All Traces: tradedoubler cookie

16:40: Removal process completed. Elapsed time 00:00:03

17:08: The Spy Communication shield has blocked access to: focusin.ads.targetnet.com

********

A priori, à part les 3 cookies il trouve plus rien, le pb c'est plutot les 2

17:08: The Spy Communication shield has blocked access to: focusin.ads.targetnet.com

Qui me posse problème (ça signifie qu'un prog essait d'accéder à un site non?)

Dois je relancer l2mfix?

Mark · le 4 novembre 2005

Rebonjour Claire

Étrange.. pas de Look2Me détecté ? Les fichiers dll restants sont donc inactifs (bonne nouvelle !). Nous allons donc creuser un peu plus loin.

Oui, j'aimerais un nouveau rapport de L2MFix (option #1 seulement !!).

Je vais également te demander un autre truc ;

Imprime ces instructions (ou colle-les dans un fichier texte) pour lecture en Sans Échec.

Télécharge Registry Search Tool de BillsWay en cliquant ce lien :

http://www.billsway.com/vbspage/

Défile au bas de la page et télécharge l'outil.

Dézippe-le sur ton Bureau.

Redémarre en mode Sans Échec (impératif) >> Au redémarrage, tapote la touche F8 ; au menu d'options, choisi "Sans Échec" avec les flèches du clavier, puis "Entrée". Choisi ton compte régulier, et non Administrateur.

Ouvre le dossier RegSrch, situé son ton Bureau, et double-clique sur RegSrch.vbs

Si ton antivirus s'affole pour le script, accepte-le quand même.

Au démarrage, on te demandera d'y entrer un élément pour recherche ; tape exactement ceci :

adchannel

Clique OK et la fenêtre disparaîtra ; donne-lui quelques instants. Une fenêtre de résultats devrait apparaître, puis clique OK. Tu devrais voir une fenêtre Bloc Notes ; sauvegarde ce fichier.

Redémarre en Mode Normal. Poste les résultats de RegSearch ici, ainsi qu'un nouveau rapport HijackThis! et le nouveau rapport de L2MFix stp. Ouff..

Claire CHAZAL · le 4 novembre 2005

Aller courage! je suis sur que c'est presque fini, malgré ce message d'erreur:

Voici le log de RegSrch "adchannel":

REGEDIT4

; RegSrch.vbs © Bill James

; Registry search results for string "adchannel" 04/11/2005 21:11:40

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\CsiiEAx3LQ4m]

"ServerAddress"="adchannel.contextplus.net"

[HKEY_LOCAL_MACHINE\SOFTWARE\CsiiEAx3LQ4m]

"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"

[HKEY_USERS\S-1-5-21-1715567821-1343024091-1708537768-1003\Software\CsiiEAx3LQ4m\Cookies\Data\net\contextplus\adchannel.contextplus.net/services]

"freq_caps4"="MSCF;freq_caps4;AAAAAAAAAAAAAAAAjn5qQwUAAADfHAAAAQAAAAAAAAB2HwAAAAAAAAEAAABrWWpDpR8AAAAAAAABAAAAxBdqQ9QfAAAAAAAAAwAAAHdZakMyYWpDQGhqQwAgAAAAAAAAAwAAAHhZakM8YWpD8mhqQwju7Zo|||||;3434642176;30479594;adchannel.contextplus.net;/services;0;{NULL};"

et celui de HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 21:21:02, on 04/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Nokia\PC Suite for Nokia 3650\connmngmntbox.exe

C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\Program Files\Nokia\PC Suite for Nokia 3650\ectaskscheduler.exe

C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe

C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE

C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\salmon\Bureau\Spyware Doctor\Nouveau dossier\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: PCSuiteForNokia3650 Detect.lnk = ?

O4 - Global Startup: PCSuiteForNokia3650 TS.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {D1B09964-F8F7-4FAB-8F2D-B8B2AC3D3BD3} (INIwallet_Eng Control) - http://plugin.inicis.com/INIwallet_Eng.cab

O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\jzcript.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

dès que sweeper à fini je vous le poste

Mark · le 4 novembre 2005

Super !! Tu viens de démasquer la bestiole

Je traduis la procédure du prochain fix, et attendrai ton prochain log avant de poster

Claire CHAZAL · le 4 novembre 2005

********

21:22: | Start of Session, vendredi 4 novembre 2005 |

21:22: Spy Sweeper started

21:22: Sweep initiated using definitions version 567

21:22: Starting Memory Sweep

21:25: Memory Sweep Complete, Elapsed Time: 00:02:36

21:25: Starting Registry Sweep

21:25: Registry Sweep Complete, Elapsed Time:00:00:09

21:25: Starting Cookie Sweep

21:25: Found Spy Cookie: 247realmedia cookie

21:25: salmon@247realmedia[2].txt (ID = 1953)

21:25: Found Spy Cookie: adtech cookie

21:25: salmon@adtech[2].txt (ID = 2155)

21:25: Found Spy Cookie: bluestreak cookie

21:25: salmon@bluestreak[2].txt (ID = 2314)

21:25: Found Spy Cookie: serving-sys cookie

21:25: salmon@serving-sys[1].txt (ID = 3343)

21:25: Found Spy Cookie: tradedoubler cookie

21:25: salmon@tradedoubler[2].txt (ID = 3575)

21:25: Found Spy Cookie: xiti cookie

21:25: salmon@xiti[1].txt (ID = 3717)

21:25: Cookie Sweep Complete, Elapsed Time: 00:00:00

21:25: Starting File Sweep

21:57: File Sweep Complete, Elapsed Time: 00:31:43

21:57: Full Sweep has completed. Elapsed time 00:34:34

21:57: Traces Found: 6

21:58: Removal process initiated

21:58: Quarantining All Traces: 247realmedia cookie

21:58: Quarantining All Traces: adtech cookie

21:58: Quarantining All Traces: bluestreak cookie

21:58: Quarantining All Traces: serving-sys cookie

21:58: Quarantining All Traces: tradedoubler cookie

21:58: Quarantining All Traces: xiti cookie

21:58: Removal process completed. Elapsed time 00:00:02

********

voilà! J'attends tes ordres!

Mark · le 4 novembre 2005

Merci pour le rapport

Allons-y pour le rootkit !

Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en Sans Échec.

Télécharge AproposFix (de Swandog46) du lien suivant :

http://swandog46.geekstogo.com/aproposfix.exe

Sauvegarde-le sur ton Bureau, mais ne le lance pas.

Redémarre en mode Sans Échec, et voici comment :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

Double-clique sur aproposfix.exe et décompresse-le sur ton Bureau. Ouvre le dossier "aproposfix" situé sur ton Bureau et lance RunThis.bat. Suis la procédure qui s'affiche.

Quand l'outil aura terminé son travail, redémarre en mode Normal, poste un nouveau rapport HijackThis! ainsi que tout le contenu du fichier log.txt situé dans le dossier "aproposfix".

À bientôt

Claire CHAZAL · le 5 novembre 2005

re bonjour,

voilà les log:

Log of AproposFix v1

************

Running from directory:

C:\Documents and Settings\salmon\Bureau\Spyware Doctor\Nouveau dossier\aproposfix

************

Registry entries found:

[HKEY_LOCAL_MACHINE\Software\CsiiEAx3LQ4m]

@="OLH.n:mWXXWXXYXz\\g\\gEzgWXXWmZX2sxny2.XOUOPAIdcX9NERANOXO97EJPAHYOUO"

"Device"="\\\\.\\PR6R6iP6"

"DriverPath"="C:\\WINDOWS\\system32\\drivers\\sdbintel.sys"

"DriverName"="splSDTC"

"HideUninstallerName"="C:\\Program Files\\Netinrar\\ctfcmd.exe"

"HDll"="C:\\WINDOWS\\system32\\dbmpagnt.dll"

"ServerAddress"="adchannel.contextplus.net"

"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"

"PartnerId"="CP.LAV"

"InstallationId"="{Xb333b0f-3ff5-4cb3-a2f6-257137482647}"

"PageFiltering"=dword:00000001

"ClientName"="C:\\Program Files\\Netinrar\\setd3d8.exe"

"AutoUpdater"="C:\\WINDOWS\\system32\\psbs32gt.exe"

"Version"="2.0.106"

************

Removing hidden service:

Service splSDTC removed.

Removing hidden folder:

Deletion of folder Netinrar succeeded!

Deleting files:

Deletion of file C:\WINDOWS\system32\drivers\sdbintel.sys succeeded!

Deletion of file C:\WINDOWS\system32\psbs32gt.exe succeeded!

Deletion of file C:\WINDOWS\system32\dbmpagnt.dll succeeded!

Backing up files:

Done!

Removing registry entries:

REGEDIT4

[-HKEY_CURRENT_USER\Software\CsiiEAx3LQ4m]

[-HKEY_LOCAL_MACHINE\Software\CsiiEAx3LQ4m]

Done!

Finished!

et le suivant:

Logfile of HijackThis v1.99.1

Scan saved at 21:47:39, on 05/11/2005