Fichiers infectés dans Systinfo/restor

[Jeak]

Bonsoir à tous

 

voilà après un test antivirus (kapersky) on-line je m'apercois que des fichiers sont infectés (au passage j'ai kapersky installé à jour qui n'a rien detecté) probleme comment avoir acces aux fichiers se trouvant dans \System Volume Information\_restore ?

 

j'ai eu plusieurs alertes de troyens (supprimés) mais comment savoir s'ils ne s'en recréent pas a chaque demarrage avec restore ?

 

voilà j'espère avoir été clair merci

 

le log de kapersky

 

Total d'objets analysés :: 54363

Nombre de virus trouvés: 3

Nombre d'objets infectés: 17

Nombre d'objets suspects: 0

Durée de l'analyse: 00:59:51

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\mIRC Chat SFW\mirc.exe Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

C:\Program Files\QuickSearch\fuckQuickSearchBar1_27.dll Infecté: not-a-virus:AdWare.Win32.Quick.a ignoré

C:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0189886.dll Infecté: not-a-virus:AdWare.Win32.Quick.a ignoré

C:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0190280.dll Infecté: not-a-virus:AdWare.Win32.NewDotNet ignoré

C:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0190284.exe Infecté: not-a-virus:AdWare.Win32.NewDotNet ignoré

C:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0190285.exe Infecté: not-a-virus:AdWare.Win32.Quick.a ignoré

C:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191496.dll Infecté: not-a-virus:AdWare.Win32.Quick.a ignoré

D:\Logiciels\Internet\Irc\mirc616.exe/data0001.bin Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\Logiciels\Internet\Irc\mirc616.exe mIRC: infecté - 1 ignoré

D:\Logiciels\Setup mIRC SFW v0.4.exe/setup.zip/9 Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\Logiciels\Setup mIRC SFW v0.4.exe/setup.zip Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\Logiciels\Setup mIRC SFW v0.4.exe SEA: infecté - 2 ignoré

D:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191380.exe/data0001.bin Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191380.exe mIRC: infecté - 1 ignoré

D:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191400.exe/setup.zip/9 Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191400.exe/setup.zip Infecté: not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

D:\System Volume Information\_restore{97F9DC6E-A618-4805-AE3B-CDA00DF95636}\RP92\A0191400.exe SEA: infecté - 2 ignoré

 

J'ai pas eu le temps de rajouter le log de hij ^^

 

Logfile of HijackThis v1.99.1

Scan saved at 23:19:24, on 17/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\GFI\LANguard Network Security Scanner 3\sscansvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE PLEOMAX Web Camera

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F471A4-72B1-4E02-99F6-EB144DF1E0F3}: NameServer = 192.168.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: GFI LANguard N.S.S. Scheduled Scans Service (lnss_sscans) - GFI Software Ltd. - C:\Program Files\GFI\LANguard Network Security Scanner 3\sscansvc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

Modifié le 17 février 2006 par Jeak

[Médicus 33]

Bonsoir

System volum information\restore correspond aux points de restauration. Il suffit de désactiver la restauration systéme, et de rebooter pour les faire disparaitre. N'oublie pas de la réactiver ensuite.

 

Suite à l'édition de ton post, tu aurais peut-être intéret à appliquer la procédure de pré-nettoyage

Modifié le 17 février 2006 par Médicus 33

[Jeak]

Bonsoir

System volum information\restore correspond aux points de restauration. Il suffit de désactiver la restauration systéme, et de rebooter pour les faire disparaitre. N'oublie pas de la réactiver ensuite.

 

Suite à l'édition de ton post, tu aurais peut-être intéret à appliquer la procédure de pré-nettoyage

 

 

c'est quoi le probleme avec le log il y a trop d'infos ?

 

ah petite question est-ce qu'un logicel malveillant peut etre invisibele et dans msconfig dans le registre (clé current version /run) et dans la liste de demarrage ?

Modifié le 17 février 2006 par Jeak

[Médicus 33]

c'est quoi le probleme avec le log il y a trop d'infos ?

 

 

Non mais tu as fais ton post en 3 fois et quand j'ai répondu le log HJT n'y était pas encore !

 

Attends la réponse d'un "nettoyeur" pour le log.

As tu installé Messenger +3 avec ou sans les sponsors ?

[Jeak]

Non mais tu as fais ton post en 3 fois et quand j'ai répondu le log HJT n'y était pas encore !

 

Attends la réponse d'un "nettoyeur" pour le log.

As tu installé Messenger +3 avec ou sans les sponsors ?

 

 

ah ok

 

heu il me semble que c'est sans les sponsors

 

Dois-je supprimer les fichiers irc ou c'est kapersky qui est trop sensible ? (a part celui marqué infecté qui est dejà supprimé)

Par contre j'ai toujours pas accès aux fichiers de la restauration.... dois-je passer en slave ?

 

Et pour ma question tu sais s'il y à d'autres emplacement possibles ?

J'ai entendu parlé de la MBR aussi y a t-on accès ?

Modifié le 17 février 2006 par Jeak

[ipl_001]

Bonsoir Jeak, Médicus 33, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Je ne vais pas lancer une analyse de ton rapport HijackThis car il est tard et je ne suis pas très souvent sur le forum en ce moment (et donc je rsiquerais de ne pas suivre).

A première vue, il n'y a rien de méchant !

 

>Par contre j'ai toujours pas accès aux fichiers de la restauration.... dois-je passer en slave ?

Non, tu n'a pas la possibilité d'accéder à la zone de restauration système (C:\System Volume Information), juste de supprimer l'ensemble des fichiers !

Médicus 33 t'a indiqué comment désactiver le système. En désactivant, tu supprimes tous les points de contrôle (points de restauration) et a fortiori tous les fichiers infectés qui sont dedans.

Comme te le dit Médicus 33, n'oublie pas de réactiver le système de restauration car c'est une option très utile !

 

>Dois-je supprimer les fichiers irc ou c'est kapersky qui est trop sensible ?

Non, ce n'est pas Kaspersky qui est trop sensible : supprime les fichiers signalés !

 

>Et pour ma question tu sais s'il y à d'autres emplacement possibles ?

Oh oui, il existe d'autres emplacements possibles !

 

>J'ai entendu parlé de la MBR aussi y a t-on accès ?

Les malwares qui attaquent la MBR sont maintenant rares (passés de mode).

La seule manière d'accéder à cette zone est (à part un reformatage) la commande FIXMBR de la console de récupération... mais si tu n'es pas infecté, n'y touche pas !

[Jeak]

Merci pour cet accueil ipl_001.

 

Bon alors j'ai supprimé tous les fichiers infectés par contre étais-je obligé d'effacé les fichiers irc où kapersky disait :"Infecté: not-a-virus:Client-IRC.Win32.mIRC.616" (dans le doute j'ai tout supprimé)

 

J'ai refait un test antivirus en ligne ça à l'air d'être propre. Par contre je l'avais fait avec celui de secuser.com et il ne m'avait rien trouvé !! Et comment se fait-il aussi que kapersky qui est installé sur ma machine n'ait rien détecté?

 

Par contre je suis toujours preneur pour l'analyse de HJT. Voili voilou merci encore

Modifié le 18 février 2006 par Jeak

[Médicus 33]

Salut

étais-je obligé d'effacé les fichiers irc où kapersky disait :"Infecté: not-a-virus:Client-IRC.Win32.mIRC.616" (dans le doute j'ai tout supprimé)

Réponse

Non, ce n'est pas Kaspersky qui est trop sensible : supprime les fichiers signalés !

 

Et comment se fait-il aussi que kapersky qui est installé sur ma machine n'ait rien détecté? icon_evil.gif

Plus à jour ? Plus complet ?

[Jack_Burton]

Bonjour a tous,

 

Par contre je suis toujours preneur pour l'analyse de HJT. Voili voilou merci encore

Comme te l a dit ipl, ton rapport est propre! Il n y a rien d infectueux.

As tu des dysfonctionnements?

[Jeak]

Bonjour a tous,

Comme te l a dit ipl, ton rapport est propre! Il n y a rien d infectueux.

As tu des dysfonctionnements?

 

Non en fait je n'avais pas de disfonctionnements mais pas mal d'alertes de troyens.

Medicus oui j'ai kapersky à jour par contre que veux tu dire par complet ?

 

Et aussi je voulais savoir si par exemple si quelqu'un est connecté à distance est-ce que je le verrai avec netstat -a ? les connexions sont-elles toutes visibles ici ?

 

Merci pour l'analyse et les réponses

Modifié le 18 février 2006 par Jeak