Mon ordi est infecté !

[Roncevaux]

Bonsoir à tous,

 

Je vous suis depuis que vous étiez zebulon-fr.com... Je ne pensais pas devoir recourir à vos services.

Mais ma Durandal étant sérieusement ébréchée, et ce soir mon cerveau lent (heureusement il n'y a pas de vent), et bien si ! Si vous le voulez bien, bien sûr...

Donc voilà..

Une collègue m'a alerté en me disant que son antivirus refusait de se mettre à jour, en annonçant qu'il de vrait peut-être être réinstallé. Et effectuvement ! Le message d'erreur d'AVG free précisait qu'e c'était à cause d"une mse à jour interrompue..

Je l'ai donc désinstallé, puis j'ai nettoyé la BDR des scories, puis j'ai lancé l'install depuis un fichier que j'avais re-téléchargé en prévision quelques minutes avant... A la fin, plantage, impossible d'écrire dans la BDR...

Renettoyage, je télécharge antivir... même combat ! Refus d'installation...

Renettoyage avec Easycleaner (inutiles et registre)

Puis je lance un scan avec Hijackthis..

Ci-dessous le log...

2 trucs me chiffonnent qu'il me semble bien avoir vu passer récemment antiav_exe.exe et hloader_exe.exe

Mais je n'ai pas pu retrouver...

 

Logfile of HijackThis v1.99.1

Scan saved at 18:12:32, on 05/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.tele2.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.generation-nt.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe

O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe

O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{5729C03C-3F53-4E39-8AE5-62CAA3662642}: NameServer = 212.151.137.170 212.247.156.66

 

Avis des spécialistes ?

 

Merci d'avance,

 

Bonne soirée et bon WE

[S.Birkoff]

Bonsoir Roncevaux,

 

En effet tu est infecté, mais avant as tu fait la procedure préliminaire :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

Auteur : mégataupe

 

Bonne soirée

S.B

edit : j'espere que je ne te met pas cette procedure pour rien : tu me dit avoir telecharger Antivir, mais tu ne me dit pas si tu as fait le reste...

Modifié le 5 novembre 2005 par S.Birkoff

[Jack_Burton]

Bonsoir S.Birkoff,

Bonsoir et bienvenu sur le forum sécurité de zebulon Roncevaux,

 

Tu as apparamment oublié une partie du rapport, notamment les lignes 023!

Lorsque tu auras appliqué la procédure, fais attention a poster l ensemble du rapport!

Modifié le 5 novembre 2005 par Jack_Burton

[megataupe]

Salut S.Birkoff . Joli trojan sur ce PC mais, je te laisse

le soin de faire mumuse avec :

 

Trojan Bagle

 

Coucou Jack !!!

Modifié le 5 novembre 2005 par megataupe

[Jack_Burton]

Bonsoir megataupe

 

T en fais pas megataupe, ce trojan est "facile" a éradiquer, je me suis fait la main hier avec le rapport de fraggy qui avait la meme bestiole

Modifié le 5 novembre 2005 par Jack_Burton

[Roncevaux]

Bonsoir Roncevaux,

 

En effet tu est infecté, mais avant as tu fait la procedure préliminaire :

Bonne soirée

S.B

edit : j'espere que je ne te met pas cette procedure pour rien : tu me dit avoir telecharger Antivir, mais tu ne me dit pas si tu as fait le reste...

 

Bonsoir,

 

Non, on ne travaille jamais pour rien...

J'ai téléchargé antivir, mais il a refusé de s'installer...

J'ai donc appliqué une partie de la procédure (de tête puisque j'ai même pas été capable depuis chez ma collègue de retrouver la procédure complète)... Je ne suis pas allé jusqu'au mode sans échec donc.

J'ai fait le nettoyage BDR et fichiers inutiles et ai relancé un scan Hijack que je vous ai envoyé..

Je ne n'ai pas fait de scan avec antivir et pour cause : il ne s'INSTALLE PAS...

Quant aux lignes R23, je viens de revérifier le log ramené de chez ma collègue, il n'y en a pas, c'est vrai, c'est bizarre...

J'avais ouvert le log avec le bloc-notes, et puis utilisé enregistrer sous sur ma clé USB, je ne vois pas pourquoi le log aurait été tronqué soit à l'ouverture, sit à l'enregistrement...

Mais bon, je vais lui passer un coup de fil, lui demander de supprimer le log, de relancer Hijackthis, et de me renvoyer le log en PJ...

Je cours un risque ?

 

Je salue au passage votre réactivité...

[S.Birkoff]

Je cours un risque ?

 

Disons que lorsque Bagle t'infecte, il s'installe et appelle ensuite des sites distants pour telecharger d'autre bestiole. Par conséquent, il te faut un firewall afin de controler les entrées/sorties. A part celà, il n'y a que la gene des symptomes.

Rassure toi, je n'ai jamais vu de personnes infectés ne pas tenir jusqu'à l'arrivée des premieres manip de desinfection

Bonne soirée

S.B

[Roncevaux]

Disons que lorsque Bagle t'infecte, il s'installe et appelle ensuite des sites distants pour telecharger d'autre bestiole. Par conséquent, il te faut un firewall afin de controler les entrées/sorties. A part celà, il n'y a que la gene des symptomes.

Rassure toi, je n'ai jamais vu de personnes infectés ne pas tenir jusqu'à l'arrivée des premieres manip de desinfection

Bonne soirée

S.B

Bonsoir,

 

Ma collègue a été "aux abonnés absents" jusqu'à cet après-midi... J'y suis passé, ai refait un log et constaté qu'il s'arrêtait bien à 017...

J'ai fixé les lignes incriminées (en mode sans échec) plus celles pointant sur www.generation-nt-com (installée avec le CD de tele2) et après ce fix, j'ai redémarré puis tenté d'accéder à la BDR et comme fraggy, ça m'a été refusé quoi que je fasse...

J'ai alors viré les scories du HD...

J'ai refait un log et cette fois-ci, ô stupeur, il s'arrêtait à 04... Va savoir pourquoi !

Je n'ai pas pensé, Internet, fonctionnant chez elle à vous le re-soumettre, j'ai pensé qu'avec son CD d'origine, je pouvais Réparer Windows... Bernique !

J'avais vu qu'après le choix Installer, d'habitude, il proposait peu après de Réparer... Cette fois non...

Il m'a réinstallé XP et derrière (j'ai dû cliquer un peu vite, je serai plus méfiant à l'avenir), j'ai dû réinstaller les applics (c'est comme ça que j'ai vu que le pointeur de generation-nt venait du CD de tele2 qui ne m'a pas laissé le choix) et le matériel...

Il faut dire que quelques temps avant, elle avait eu un problème de téléchargement -interrompu dit-elle- suite à une coupure de tele2... D'après ce que je crois comprendre elle aurait tenté d'exécuter un fichier d'installation depuis chez Adobe parce que le site de la SNCF le lui avait proposé...

Depuis le PC ramait comme un fou, et elle avait procédé à un nettoyage...

(je me cherche des excuses )

Bon, évidemment maintenant ça marche (le log est propre)!

Mais elle utilise IE ne veut pas entendre parler de FireFox : je ne désespère pas elle utilise déjà thunderbird

 

Donc, merci les gars..

Je ne dis pas à une prochaine fois ou alors pas pour les mêmes