[Résolu] Malware Virtumonde

[Jack_Burton]

Bonjour France Q,

 

Si vous voulez pardonner mon intrusion, j'aurais une petite question pour Qc001.

 

Pouquoi faites-vous décocher les fonctions Gardien d'arrière-plan et scan du menu contextuel dans Ewido?

Car Ewido ne nous sert que pour le scan du systeme donc il est inutile que nous mettions la protection en temps réel et des éléments additionnels dans le menu contextuel!

 

France Q, la prochaine fois, pose ce genre de question par MP car cela interfere la procédure de désinfection de John77.

Merci pour ta compréhension.

 

Bonne journée

Modifié le 15 janvier 2006 par Jack_Burton

[John77]

En fait, j'ai viré Le parefeu de Sygate pour bosser avec Zone labs!!

 

Le probléme avec Sygate, c'est l'anglais...!Et comme je fais du réseau avec ma console, j'étais obligé de le désactiver...Sinon, impossible de jouer!!Donc en prennant une interface en français, je pourrais p étre mieux le régler!!Enfin, pas encore essayé!!

 

Sinon, la recherche de protection des fichiers est en cours d'analyse....Et, super, il ne m'a pas demandé le CD de Windows!!

 

Je te tiens au courant.

 

@ toute

[John77]

Bon, aucun changement!!!

 

Mais aprés l'analyse, aucun message n'est apparu!!Est-ce normal??

 

Sinon, quand je vais dans le "Compte Utilisateur", une fenétre s'ouvre avec ce message:

Nombre d'arguments ou affectation de propriété incorrects!!

 

De plus, depuis la manip d'avant mon pc ne s'éteint plus tout le temps!!Il se bloque en fermant windows!!

Tu as une idée??

 

Merci

[Mark]

Ok, assurons nous que ton PC est vraiment propre avant d'entreprendre des restaurations pour ces problèmes système.

 

Je veux m'assurer que tu n'as pas des tonnes de fichiers temporaires qui polluent ton ordi, alors je te fais passer CCleaner :

 

Télécharge CCleaner et installe le. Lance le en double cliquant sur CCleaner.exe

Ajoute les raccourcis à ta Corbeille (qui permettent de lancer CCleaner avec clic-droit sur celle-ci).

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur "Nettoyeur" (à gauche).
  
• Clique sur le bouton Lancer le Nettoyage
  

Patiente quelques secondes afin de permettre à l'outil de bosser. Ferme le lorsque le nettoyage est terminé.

 

Note : Il est important de passer CCleaner avec les options par défaut seulement. Ne va pas dans la section "Erreurs", car ça peut être dangeureux (pour experts seulement !!!).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Maintenant ; tu avais tenté de scanner avec Spy Sweeper en début de fix, et ça avait planté. On va réessayer !! Va dans le Panneau de Config >> Ajout/Suppression des programmes, et désinstalle Spy Sweeper si tu le vois dans la liste (pas grave s'il n'y est plus !).

 

Webroot viennent tout juste de lancer une version d'essai de 90 jours, alors ça vaut la peine de tenter la manip à nouveau :

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 90 jours) : http://www.webroot.com/land/90day.php

• Clique sur "90 Days Free - Download now" (à droite).
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Poste un nouveau rapport HijackThis! également.

 

@+ tard

Modifié le 16 janvier 2006 par Qc001

[John77]

C bon.....

 

Mes clés MSEvents ont ils été supprimées????????

En tout cas, Spy Sweeper n'a pas fait planter mon systéme d'exploitation!!!Analyse et Suppression: Nickel!!!

Voici le rapport:

 

 

********

20:01: | Start of Session, lundi 16 janvier 2006 |

20:01: Spy Sweeper started

20:01: Sweep initiated using definitions version 601

20:01: Starting Memory Sweep

20:04: Memory Sweep Complete, Elapsed Time: 00:02:54

20:04: Starting Registry Sweep

20:04: Found Adware: virtumonde

20:04: HKCR\msevents.msevents\ (4 subtraces) (ID = 749130)

20:04: HKCR\msevents.msevents.1\ (2 subtraces) (ID = 749136)

20:05: HKLM\software\classes\msevents.msevents\ (4 subtraces) (ID = 749153)

20:05: HKLM\software\classes\msevents.msevents.1\ (2 subtraces) (ID = 749157)

20:05: Found Adware: winantispyware 2005

20:05: HKLM\system\currentcontrolset\control\class\{29ae0e04-08b8-4d2f-bfbe-83fb0ec73bb7}\ (3 subtraces) (ID = 795420)

20:05: Registry Sweep Complete, Elapsed Time:00:00:23

20:05: Starting Cookie Sweep

20:05: Found Spy Cookie: atlas dmt cookie

20:05: nana@atdmt[2].txt (ID = 2253)

20:05: Found Spy Cookie: bluestreak cookie

20:05: nana@bluestreak[1].txt (ID = 2314)

20:05: Found Spy Cookie: rn11 cookie

20:05: nana@rn11[2].txt (ID = 3261)

20:05: Found Spy Cookie: reliablestats cookie

20:05: nana@stats1.reliablestats[1].txt (ID = 3254)

20:05: Found Spy Cookie: weborama cookie

20:05: nana@weborama[2].txt (ID = 3658)

20:05: Found Spy Cookie: xiti cookie

20:05: nana@xiti[1].txt (ID = 3717)

20:05: Cookie Sweep Complete, Elapsed Time: 00:00:00

20:05: Starting File Sweep

20:30: updates.winsoftware[1].0&ac=c0960f0c-5656-4889-acd9-45356120e499&suspicious=1&em=0504170f5a06540a0b0d0615027b0c050d031505574a0c0b (ID = 149943)

20:30: Warning: Failed to access drive F:

20:30: Warning: Unhandled Archive Type

20:30: Warning: Unhandled Archive Type

20:30: Warning: Unhandled Archive Type

20:30: Warning: Unhandled Archive Type

20:31: File Sweep Complete, Elapsed Time: 00:25:59

20:31: Full Sweep has completed. Elapsed time 00:29:23

20:31: Traces Found: 27

20:34: Removal process initiated

20:34: Quarantining All Traces: virtumonde

20:34: Quarantining All Traces: atlas dmt cookie

20:34: Quarantining All Traces: bluestreak cookie

20:34: Quarantining All Traces: reliablestats cookie

20:34: Quarantining All Traces: rn11 cookie

20:34: Quarantining All Traces: weborama cookie

20:34: Quarantining All Traces: winantispyware 2005

20:34: Quarantining All Traces: xiti cookie

20:34: Removal process completed. Elapsed time 00:00:03

********

19:57: | Start of Session, lundi 16 janvier 2006 |

19:57: Spy Sweeper started

19:57: Your spyware definitions have been updated.

20:01: | End of Session, lundi 16 janvier 2006 |

 

 

 

 

Est-ce que je dois supprimer Avast pendant 90 jours afin d'utiliser Spy Sweeper??

 

Voici le rapport HijackThis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:05:45, on 16/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus1.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe" /WinStart

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} - http://adserver.sharewareonline.com/adserver/Install.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128709150617

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

 

 

 

Merci par avance Qc001

[John77]

Je viens de lancer Spybot: Aucune trace de Virtumonde!!!!!!!!!!!!!!!!!!!

 

ça y est!!!!

 

Merci QC001 d'avoir partager ton temps avec moi et mon "simple" ordi!!

 

 

Peux-être me trouveras-tu un programme ou un fichier malicieux dans hijack pour optimiser ("encore"!!!!!!!!!!) plus mon systéme!!??

 

Tiens moi au jus.....

 

Et encore 1000 fois merci!!!!

[Mark]

LOL !!

 

Non-non, tu gardes Avast!, car c'est un antivirus, et Spy Sweeper est un nettoyeur de trojans/spywares. La protection "résidente" (Shield) de ces deux programmes ne causent pas de conflits (j'ai les deux sur ma bécane !!).

 

Content de voir que ces clés MSEvents ne te causent plus de soucis !! (et à moi non plus !! ).

 

Ok, qu'en est-il des autres dysfonctionnements ? Pourrais tu m'expliquer chacun d'entre eux ? (sauf les comptes utilisateurs, car tu as déjà expliqué l'erreur générée).. Si tu peux mettre des captures d'écran...mais je ne te demande pas l'impossible !!

Modifié le 16 janvier 2006 par Qc001

[John77]

Pour restaurer un point, je fais:

 

Panneau de config>Performances et maintenances>restaurer systéme. Est la, la fenétre s'ouvrant pour afficher ces "points" reste blanche!

 

 

 

 

Pour restaurer un point, je fais:

 

Panneau de config>Performances et maintenances>restaurer systéme. Est la, la fenétre s'ouvrant pour afficher ces "points" reste blanche!

 

 

Et ce parefeu windows que je n'ai jamais réussi à activer:

 

Panneau de config>centre de sécurité Windows>Option parefeu: Et la, impossible de cocher quelques choses(mais, la, la fenétre ne reste pas blanche!!)

 

@ plus Qc001 et merci

[Mark]

Ok, merci de ces informations détaillées !

 

Télécharge ce petit utilitaire créé par Doug Knox :

http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip

 

..et sauvegarde le sur ton Bureau. Dézippe l'outil (SysRestoreCalendar.exe)sur le Bureau, puis lance le ; clique "Repair" et ensuite redémarre. Dis moi si ça a marché

Modifié le 17 janvier 2006 par Qc001

[John77]

En lançant le logitiel le message suivat apparait:

 

"All Registry entries are correct. No Repairs re needed"

 

Et donc, la case repair est inacessible!