Rapport Hijack à analyser

SLYL · le 13 novembre 2005

Bonjour à tous,

Tout d'abord je félicite les animateurs, ainsi que le créateur du site, pour le travail réalisé... Nombre de sites web ferait bien de s'en inspirer... Ca ressemblent vraiment à l'esprit de communauté proné à l'origine du web !

Venons au problème qui motive ce post... Depuis deux jours, IE démarre tout seul et m'affiche des pages de pub. Il y a aussi des pages de pub en Flash.

J'ai procédé à plusieurs scans avec différents logiciels et il apparaît que ma machine est infectée par des spywares que je n'arrive pas à éradiquer. Pestpatrol à détecter les intrus suivants : CWS.loadAdv.400 (Hijacker), Targetsaver (?), PacerD (Adware). Seulement, utilisant la version "free" il m'est impossible de les éradiquer. Le logiciel Ad-aware SE ne détecte que des tracking cookies. Quant à l'antivirus que j'utilisais, NAV, il ne démarre plus et de plus je ne peux plus le mettre à jour... Voici donc un rapport Hijackthis (après plusieurs lectures sur le net, il semble que ce soit la première étape à mettre en oeuvre).

Il est à noter que ma machine ne démarre plus qu'en mode sans échec (avec le réseau toutefois), suite à la suppression d'intrus avec Ad-aware, notamment...

Par avance merci de votre aide, qui m'enlévera une sacrée épine du pied... et ces intrus malveillants de ma machine.

**************************************

Logfile of HijackThis v1.99.1

Scan saved at 08:19:33, on 13/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O20 - Winlogon Notify: URL - C:\WINDOWS\system32\e602lgdo160c.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\qbodaome.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Jack_Burton · le 13 novembre 2005

Salut et bienvenu sur le forum sécurité de zebulon,

D apres megataupe, la version free de Pest Patrol est une vrai bouse voir ici!

Je te conseille donc de suivre le conseil de megataupe et de le désinstaller!

A part ca ton rapport montre quelques signes d infection!

En attendant tu peux faire ceci :

Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours):

Clic sur le lien Free Trial sous la rubrique "SpySweeper".
Installe le programme. Une fois installé, il se lancera.
L'option de le mettre à jour s'affichera; clic Yes.
Lorsque les mises à jour seront installées, clic Options sur la gauche.
Clic sur l'onglet Sweep Options.
Sous What to Sweep, coche les options suivantes:
- Sweep Memory
- Sweep Registry
- Sweep Cookies
- Sweep All User Accounts
- Enable Direct Disk Sweeping
- Sweep Contents of Compressed Files
- Sweep for Rootkits
- DÉCOCHE Do not Sweep System Restore Folder.
[*]Clic Sweep Now sur la gauche.

[*]Clic sur Start.

[*]Quand le scan est terminé, clic sur Next.

[*]Assure-toi que tous les items sont cochés, puis clic sur Next.

[*]Tous les items cochés seront éliminés.

[*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

[*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

[*]Clic sur l'onglet Summary, puis clic sur Finish.

[*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Tu rajouteras un nouveau rapport hijackthis en meme temps! Merci

Modifié le 13 novembre 2005 par Jack_Burton

SLYL · le 14 novembre 2005

Bonjour Jack Burton,

Merci beaucoup pour tous ces précieux conseils... je les ai suivi à la lettre mais uniquement en mode sans échec avec prise en charge du réseau, puisque win XP ne veut plus démarrer en mode normal. Au second démarrage, les fenêtres intempestives d'explorer ne sont pas apparues...

J'attends avec impatience la suite de tes judicieuses remarques !

A+

SLYL

Voici les résultats des logs :

********

08:23: | Start of Session, lundi 14 novembre 2005 |

08:23: Spy Sweeper started

08:23: Sweep initiated using definitions version 572

08:23: Starting Memory Sweep

08:24: Found Adware: icannnews

08:24: Detected running threat: C:\WINDOWS\system32\o0pq0a75ed.dll (ID = 83)

08:24: Detected running threat: C:\WINDOWS\system32\guard.tmp (ID = 83)

08:24: Detected running threat: C:\WINDOWS\system32\EinClass.Dll (ID = 83)

08:24: Memory Sweep Complete, Elapsed Time: 00:01:02

08:24: Starting Registry Sweep

08:24: Found System Monitor: sc-keylog

08:24: HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\explorer\ (6 subtraces) (ID = 140468)

08:25: Registry Sweep Complete, Elapsed Time:00:00:08

08:25: Starting Cookie Sweep

08:25: Cookie Sweep Complete, Elapsed Time: 00:00:00

08:25: Starting File Sweep

08:29: Found Trojan Horse: trojan-backdoor-us15info

08:29: tool5.exe (ID = 183857)

08:30: Found Adware: spysheriff

08:30: secure32.html (ID = 184319)

08:33: Found Adware: command

08:33: wa5pxaidv0.vbs (ID = 185675)

08:36: Warning: Invalid Stream

08:38: Warning: Unhandled Archive Type

08:40: File Sweep Complete, Elapsed Time: 00:15:23

08:40: Full Sweep has completed. Elapsed time 00:16:36

08:40: Traces Found: 13

08:48: Removal process initiated

08:48: Quarantining All Traces: icannnews

08:48: icannnews is in use. It will be removed on reboot.

08:48: C:\WINDOWS\system32\o0pq0a75ed.dll is in use. It will be removed on reboot.

08:48: C:\WINDOWS\system32\guard.tmp is in use. It will be removed on reboot.

08:48: C:\WINDOWS\system32\EinClass.Dll is in use. It will be removed on reboot.

08:48: Quarantining All Traces: sc-keylog

08:48: Quarantining All Traces: spysheriff

08:48: Quarantining All Traces: trojan-backdoor-us15info

08:48: Quarantining All Traces: command

08:48: Warning: Timed out waiting for explorer.exe

08:48: Warning: Quarantine process could not restart Explorer.

08:48: Preparing to restart your computer. Please wait...

08:48: Removal process completed. Elapsed time 00:00:34

********

08:21: | Start of Session, lundi 14 novembre 2005 |

08:21: Spy Sweeper started

08:22: Your spyware definitions have been updated.

08:23: | End of Session, lundi 14 novembre 2005 |

****************************************************

Logfile of HijackThis v1.99.1

Scan saved at 08:53:23, on 14/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [sunServer] C:\Program Files\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray