Un Win32.Gael.3666 trop résistant à mon goût...

[casier]

salut à tous,

 

je sais que ce sujet à été abordé, mais après moultes recherches et essais peu fructueux, je fais appel à ceux d'entre vous qui connaissent bien le sujet.

 

Il y a quelques mois, je me suis fait attaquer par une saloperie appelée, entre autre, tenga ou Win32.Gael.3666 qui bousille tous les exe d'un DD petit à petit, jusque là vous connaissez...

 

Grace au scan en ligne de secuser, qui est le seul à arriver à réparer les exe infestés à ma connaissance, je m'en suis presque sorti mais pas tout à fait : régulièrement (tous les jours quoi ^^), par exemple pendant je regarde un film avec vlc, en plein milieu bit defender s'excite en disant qu'il a bloqué une attaque du fameux virus et me précise un certain fichier .exe avec un nom à la con (genre install.exe) dans un dossier à la con (genre temp, ou ailleurs, ça dépend), fichier qui bien sur n'avait jamais été là avant !

 

J'ai essayé de suivre diverses procédures proposées sur les forums, mais rien à faire, le virus semble parti quand soudain il apparait de nouveau comme par enchantement.

Tout ceci me conduit à me demander si ce serait pas tout simplement que le virus s'incruste à nouveau sur mon PC tous les jours via des failles réseau (msn, ports ouvert etc ?), parceque je vois pas comment ça peut être autrement.

 

Si vous avez une idée, je suis preneur. J'ai un log Hijackthis si besoin mais j'ai pas l'impression qu'il y a quoi que ce soit d'anormal dedans...j'ai winXP SP2 et bitdenfender 9.5 pro.

 

merci !

 

PS: j'ai fais un scan de mes ports par zebulon et il se trouve que tous mes ports sont soit ouverts (y'en a deux) soit fermés, mais aucun n'est masqué ?!! Super mon pare-feu bitdefender ???

Modifié le 16 avril 2006 par casier

[tornado]

Salut casier et bienvenue sur zébulon

 

 

Tout d'abord, je tiens à te remercier pour les explications détaillées de ton problème

 

Tenga est un malware très coriace... si tu reçois des alertes, tu n'en es toujours pas débarassé.

Peut-être a-t-il réapparu car il avait infecté ta restauration système, va savoir...

 

 

 

 

PS: j'ai fais un scan de mes ports par zebulon et il se trouve que tous mes ports sont soit ouverts (y'en a deux) soit fermés, mais aucun n'est masqué ?!! Super mon pare-feu bitdefender ???

 

Normalement, tous tes ports doivent êtres masqués. Visiblement, ton pare-feu bitdefender n'est pas bien configuré. Tes attaques sont sûrement dues à cela ...

Je te conseille, avant d'opter pour un autre firewall, plus efficace, de fermer les ports critiques de ton système avec un logiciel développé par des membres de zebulon : Zebprotect

 

- Télécharge-le à cette adresse --> http://telechargement.zebulon.fr/123-Zeb-Protect.html

- Sers toi de ce tuto pour le configurer --> http://telechargement.zebulon.fr/123-Zeb-Protect.html

 

 

 

Puis après l'avoir utilisé, refais le test de sécurité de zeb et fais moi part des résultats ...

 

 

 

Si vous avez une idée, je suis preneur. J'ai un log Hijackthis si besoin mais j'ai pas l'impression qu'il y a quoi que ce soit d'anormal dedans...j'ai winXP SP2 et bitdenfender 9.5 pro.

 

Envoie quand même un rapport hijackthis, on sait jamais...

 

 

 

 

 

A+

Modifié le 16 avril 2006 par tornado

[casier]

Salut casier et bienvenue sur zébulon

Tout d'abord, je tiens à te remercier pour les explications détaillées de ton problème

un post clair = une réponse efficace

 

Tenga est un malware très coriace... si tu reçois des alertes, tu n'en es toujours pas débarassé.

Peut-être a-t-il réapparu car il avait infecté ta restauration système, va savoir...

je n'ai pas la restauration système d'activée

 

Normalement, tous tes ports doivent êtres masqués. Visiblement, ton pare-feu bitdefender n'est pas bien configuré. Tes attaques sont sûrement dues à cela ...

Je te conseille, avant d'opter pour un autre firewall, plus efficace, de fermer les ports critiques de ton système avec un logiciel développé par des membres de zebulon : Zebprotect

- Télécharge-le à cette adresse --> http://telechargement.zebulon.fr/123-Zeb-Protect.html

- Sers toi de ce tuto pour le configurer --> http://telechargement.zebulon.fr/123-Zeb-Protect.html

Puis après l'avoir utilisé, refais le test de sécurité de zeb et fais moi part des résultats ...

j'ai lancé le truc, mais je ne peux pas redemarrerpour le moment (scan en cours), je te dis ça dès que je peux...

 

 

Envoie quand même un rapport hijackthis, on sait jamais...

A+

Logfile of HijackThis v1.99.1

Scan saved at 02:03:13, on 17/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Documents and Settings\Boss\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1136823836359

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BC76A69-72E4-4662-ABCF-0023E6575FA2}: NameServer = 86.64.145.143 84.103.237.143

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: WinFast® Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

 

voilà

 

PS : et allez, durant un scan avec l'utilitaire windows, bitdefender qui s'affolle et qui me dit qu'il trouve un virus dans F:\recycler alors qu'il n'y a rien du tout dedans (même pas en fichier caché) et en plus l'utilitaire windows ne bronche pas...y'a vraiment un truc qui cloche quand même, aucune trace de virus et pourtant des alertes régulièrement...

Modifié le 17 avril 2006 par casier

[Gof]

Bonsoir Casier ,

 

Tornado s'étant absenté, je me permets de répondre. Ton log semble propre.

 

Peux-tu faire un scan avec Panda en attendant stp histoire de voir :

 

Panda (utilise Internet Explorer pour cela) et poste le rapport qu'il t'affichera à la fin : http://www.pandasoftware.fr/Activescan/Activescan.html . Si tu n'y arrives pas, le tuto : http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

[casier]

alors déjà merci pour ton aide.

 

Ensuite, voici les résultats du scanner de ports après les conseil de tornado : c'est exactement la même chose qu'avant zebprotect, j'ai tous les ports fermés sauf le 80 et 443 ouverts et aucun port masqué.

 

Pour le scan, ça va prendre du temps, je vous tiendai au courant !

Modifié le 17 avril 2006 par casier

[Gof]

Re bonsoir Casier,

 

Je connais mal Bitdefender. Je pense à défaut à un problème de configuration. Je suis navré de ne pouvoir t'aider d'avantage pour l'instant, en l'absence d'un spécialiste.

[horus agressor]

Bonjour,

 

Je ne suis de loin pas un spécialiste en désinfection et en analyse de log, mais cet outil efficace et radical contre les processus parasites habituellement tenaces a attiré mon attention :

 

http://forum.zebulon.fr/index.php?showtopi...57entry718757

 

Amicalement.

 

Gof

[tornado]

Salut casier, gof, horus agressor ,

 

 

 

Je crois que la priorité pour l'instant est de fermer/masquer certains ports sur ton système.

Si je me suis bien renseigné, les ports 443 et 80 ouverts permettent les connexions entrantes depuis ton navigateur... mauvais signe

 

 

Je n'ai pas trouvé de tuto pour ce pare-feu... de toute façon, le pare-feu de bitdefender, ainsi que ceux intégrés dans les suites de sécurité en général, ne sont pas très efficaces...

 

Je te recommande donc d'installer un "vrai" pare-feu, comme Kerio ou Zonealarm, qui sont simples d'utilisation, gratuits et efficaces... :

 

 

 

 

 

- Kerio

• Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html
  
• Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php
  

 

- Zonealarm

• Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html
  
• Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1
  
• Et le paramétrer selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm
  

 

 

Après l'installation + la configuration d'un des 2 firewalls, refais le test de sécurité de zeb'...

 

 

 

En plus de ça, fais le scan en ligne de panda, comme te l'a recommandé gof , et poste le rapport généré...

 

 

 

Bon courage

[casier]

salut à tous,

 

installer kerio ou zonealarm je veux bien, mais aucun deux deux ne passe sur ma bécane, impossible de savoir pourquoi...kerio = 100% processeur et ZA je sais plus...

oui, les deux ports ouverts ça sent mauvais je m'en doute...

 

pour les process, je les guette tout le temps avec proceXP qui est très bien, mais, comme le confirme Hijackthis, y'a pas de souçis de ce coté là, les process en cours sont légitimes...

Modifié le 17 avril 2006 par casier

[casier]

et voilà le rapport panda:

 

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@bluestreak[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@doubleclick[1].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@fastclick[1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@fe.lea.lycos[1].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@media.fastclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Boss\Cookies\boss@xiti[1].txt

Virus Eventuel. No Désinfecté G:\ebooks\install.exe

 

 

on peut y voir le fichier type dont je parlais, ce fameux install.exe qui se crée un peu n'importe quand n'importe où, que bit defender bloque quand il se crée....Quant à ces cookies, ils reviennent tout le temps...tout cela doit être dû à mes ports ouvert à mon avis, ou alors ce virus est vraiment une cochonnerie planquée dans des endroits de la mémoire ou du mbr, que sais-je...

 

nota : si je fais une recherche du fichier "install.exe", j'en trouve presque une dizaine sur le pc, que le scan n'a pas jugé dangereux, mais ce sont bien les même fichiers parasites. et dans le autorun.inf, qu'est-ce qu'on lit : [autorun]open=install.exeicon=install.exe,0

!!! C'est pour ça que bitdefender s'ecxite comme ça. Mais comment ces trucs peuvent-ils se créer et se lancer tout seul nom de dieu !!!!

Modifié le 17 avril 2006 par casier