Rapport HiJackThis

[cedekasme]

Bonjour à tous!

 

Ce matin en me connectant sur internet explorer, j'ai eu la mauvaise surprise de voir que mon ordinateur avait été infecté par deux troyens : StartPa.du.dll.1 et dldr.age

Mon antivirus Antivir arrive a les detecter kan j'ouvre internet explorer mais lors d'un scan, impossible de les detecter.

Ces deux virus apparaissent a chaque fois ke j'ouvre internet explorer.

 

J'ai fait un rapport comme indiqué sur le forum avec HijackThis. Je vous envoie donc le rapport en esperant que vous pourrez m'aider.

 

En vous remerciant.

 

 

*************************************************************

 

Logfile of HijackThis v1.99.1

Scan saved at 11:35:00, on 08/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wkqnh.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [ieyr.exe] C:\WINDOWS\system32\ieyr.exe

O4 - HKLM\..\Run: [100.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\100.tmp.exe

O4 - HKLM\..\Run: [101.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\101.tmp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131438419023

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkpe.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

[Jack_Burton]

Bonjour et bienvenu sur le forum sécurité de zebulon,

 

Ton systeme est en effet infecté!

J analyse ton rapport, réponse dans un moment!

[spikefr]

Je soupsonnerai :

O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll

 

mais bon ... j'en suis pas sure, je laisse la main aux pros

[Jack_Burton]

Nous allons procéder en 2 temps :

-élimination de vundo

-nettoyage du reste du rapport!

 

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

 

Télécharge VundoFix.exe

http://www.atribune.org/downloads/VundoFix.exe

 

Un dossier VundoFix va être créé sur le bureau.

 

Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

 

Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8)

 

En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat

 

Une commande va s'ouvrir et tu verras ceci:

 

VundoFix V2.15 by Atri

By pressing enter you agree that you are using this at your own risk

 

 

Appuie sur Entrée

 

Ensuite tu verras:

 

Type in the filepath as instructed by the forum staff

Then Press Enter, to continue with the fix.

 

 

A ce moment entre le chemin exact du fichier suivant:

 

C:\WINDOWS\system32\ntyn.dll

 

Appuie sur Entrée

 

Ensuite tu verras:

 

Please type in the second filepath as instructed by the forum staff

 

 

A ce moment entre le chemin exact du fichier suivant:

 

C:\WINDOWS\system32\nytn.*

 

Appuie sur entrée pour continuer

 

Lance Hijackthis :

 

Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED:

 

O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll

 

Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix)

 

Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer"

 

Fais ce scan en ligne:

 

http://housecall.trendmicro.com/hous...start_corp.asp

 

Autorise les à désinfecter

 

Poste le rapport du scan dans ta prochaine réponse.

 

Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

Modifié le 8 novembre 2005 par Jack_Burton

[spikefr]

...A ce moment entre le chemin exact du fichier suivant:

 

C:\WINDOWS\system32\ntyn.dll

 

 

Ah ben ...'suis pas si mauvais que ça

 

Sinon ça sert à quoi "VundoFix.exe" , ça delete un fichier qui est chargé en mémoire?

[Jack_Burton]

Ah ben ...'suis pas si mauvais que ça

 

Sinon ça sert à quoi "VundoFix.exe" , ça delete un fichier qui est chargé en mémoire?

Non, il sert a éradiquer ce genre d infection plutot résistante!

 

Mais il y a pas que ca d infectueux sur ton rapport, mais je préfere procéder en étape!

Modifié le 8 novembre 2005 par Jack_Burton

[cedekasme]

Merci pour vos reponses !!

 

Je vais faire ça de suite !

Je vous tien au courant !

[spikefr]

Non, il sert a éradiquer ce genre d infection plutot résistante!

 

Qu'est-ce que tu appelles "infection resistante" ?

Que fait-il exactement ?

 

A chaque fois que j'ai été touché par ce type d'infection, j'ai toujours pu supprimer (ou renommer) le fichier avec des commandes dos et ensuite je nettoie la base de registre avec Hijackthis ...

Il y a des cas où c'est pas possible ? ou alors cet outil a pour but de supprimer des fichiers sans faire d'erreur de manip ?

[Jack_Burton]

Qu'est-ce que tu appelles "infection resistante" ?

Que fait-il exactement ?

 

A chaque fois que j'ai été touché par ce type d'infection, j'ai toujours pu supprimer (ou renommer) le fichier avec des commandes dos et ensuite je nettoie la base de registre avec Hijackthis ...

Il y a des cas où c'est pas possible ? ou alors cet outil a pour but de supprimer des fichiers sans faire d'erreur de manip ?

S il s agit de vundo, tu ne pourras pas l éradiquer en supprimant simplement le fichier car il reviendra sans cesse!

A présent je te demanderai de ne plus interférer la discussion et la procédure de désinfection pour cedekasme!

 

Si tu as d autres questions poses les moi en MP!

Merci de ta compréhension!

Modifié le 8 novembre 2005 par Jack_Burton

[cedekasme]

J'ai fait ce ke tu m'as di !

Mais, j'ai eu un petit probleme avec l'antivirus en ligne... Internet explorer se plantait a chaque fois ke je tentais d'acceder a la page ke tu me donnais. J'ai tenté plusieurs fois de le faire marcher, mais en vain...

 

Je te poste kan meme le reste des rapports.

 

En vous remerciant !

 

**********************************************

 

Logfile of HijackThis v1.99.1

Scan saved at 14:58:21, on 08/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\program files\quicktime\qttask.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AVPersonal\AVSCHED32.EXE

C:\WINDOWS\system32\ieyr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\system32\sdkpe.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\AMD\PowerNow!\GemServ.exe

C:\Program Files\AMD\PowerNow!\gemback.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {2D6035DE-3120-DCA0-6CA3-399E0B83B881} - C:\WINDOWS\system32\addmj32.dll

O2 - BHO: Class - {BFD9FA3A-C0CE-30AE-2B7C-0F987054EF24} - C:\WINDOWS\system32\netjr.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [ieyr.exe] C:\WINDOWS\system32\ieyr.exe

O4 - HKLM\..\Run: [100.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\100.tmp.exe

O4 - HKLM\..\Run: [101.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\101.tmp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131438419023

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkpe.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

**************************************************

 

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

 

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

 

killvundo.bat

process.exe

ReadMe.txt

vundo.reg

vundofix.txt

 

--------------------------------------------------------------------------------------

 

Filepaths entered

--------------------------------------------------------------------------------------

 

The filepath entered was C:\WINDOWS\system32\ntyn.dll

 

The second filepath entered was C:\WINDOWS\system32\ntyn.*

 

--------------------------------------------------------------------------------------

 

Log from Process

--------------------------------------------------------------------------------------

 

 

Killing PID 124 'smss.exe'

 

Killing PID 664 'explorer.exe'

 

 

Killing PID 196 'winlogon.exe'

--------------------------------------------------------------------------------------

 

C:\WINDOWS\system32\ntyn.dll Deleted sucessfully.

C:\WINDOWS\system32\ntyn.* Deleted sucessfully.

 

Fixing Registry

--------------------------------------------------------------------------------------