Infection d'origine inconnue

[Rick0369]

Salut à tous,

 

Je viens de rencontrer un problème dans Internet Explorer: après le téléchargement d'une mise à jour de Windows, une fenêtre m'a proposé l'installation d'une nouvelle fonction permettant l'utilisation d'onglets dans l'explorer.

 

OK, un onglet reprenant l'intitulé du site apparaît. Malheureusement, à l'ouverture d'une nouvelle fenêtre Internet explorer, la fenêtre précédente est "écrasée".

Plus grave, dans la majorité des pages web, un certains nombre de mots apparaissent maintenant en bleu et sont soulignés (parfois un double soulignage). Si le curseur passe sur ces mots (sans cliquer dessus), une petite fenêtre s'ouvre avec la mention "Sponsored link" et un "rectangle défilant" indique la progression du téléchargement.

 

L'analyse de l'ordinateur avec différents logiciels antivirus m'a détecté certaines "infections" qui ont été supprimées mais le problème subsiste.

Une dernière analyse via le site de Symantec Security Check indique la présence de "Download.Trojan" et de "Bloodhound.Morphine" à la fois dans system32 et dans application data !

Malheureusement aucune suggestion pour éliminer ces indésirables !!!

Je ne sais pas si ces éléments sont en rapport avec mon problème d'explorer.

 

Quelqu'un aurit-il des suggestions ?

 

Merci d'avance.

[Mark]

Bonjour Rick, et bienvenu sur le forum Sécu de Zeb'

 

Bon, Norton annonce un "Bloodhound" en détection heuristique, c'est-à-dire une bestiole possible, mais non identifiée dans sa base virale. Il doit sûrement y avoir quelque chose là-dessus... On investigue. Prière de suivre la méthode préliminaire de Megataupe ici :

http://forum.zebulon.fr/index.php?showtopic=83986

 

Reviens ici avec ton rapport HijackThis!, et on poursuivra

 

@+

[Rick0369]

Bonjour Rick, et bienvenu sur le forum Sécu de Zeb'

 

Bon, Norton annonce un "Bloodhound" en détection heuristique, c'est-à-dire une bestiole possible, mais non identifiée dans sa base virale. Il doit sûrement y avoir quelque chose là-dessus... On investigue. Prière de suivre la méthode préliminaire de Megataupe ici :

http://forum.zebulon.fr/index.php?showtopic=83986

 

Reviens ici avec ton rapport HijackThis!, et on poursuivra

 

@+

 

 

 

Merci pour ton aide !

 

Après avoir exécuter Antivir en mode sans échec, 4 fichiers ont été retirés. Lorsque je redémarre en mode normal, les problèmes d'onglets dans internet explorer semblent avoir disparus...

 

Voici le rapport de Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:43:43, on 20/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\TPSBattM.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\test\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [sigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [rock] rock.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: Domain = LBTD17.med.ulg.ac.be

O17 - HKLM\System\CCS\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: NameServer = 139.165.12.5,139.165.40.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{680F1C17-A8D9-4678-91B0-E306376C9BA6}: Domain = med.ulg.ac.be

O17 - HKLM\System\CCS\Services\Tcpip\..\{680F1C17-A8D9-4678-91B0-E306376C9BA6}: NameServer = 139.165.12.5,139.165.40.1,139.165.32.13

O17 - HKLM\System\CS1\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: Domain = LBTD17.med.ulg.ac.be

O17 - HKLM\System\CS1\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: NameServer = 139.165.12.5,139.165.40.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: Domain = LBTD17.med.ulg.ac.be

O17 - HKLM\System\CS2\Services\Tcpip\..\{091D6328-F4E8-4721-A928-3EAB4ED0998E}: NameServer = 139.165.12.5,139.165.40.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

@+

[Rick0369]

La seule chose dont je n'arrive pas à me débarasser est la page qu'une de ces saleté a placé à la place du papier peint du bureau. Cette page dit ceci:

 

"Warning! Spyware threat detected! System error #1752

 

Your computer has several fatal errors due to spyware activity.

Your IP address is 127.0.0.1and via this address an unauthorized

access was gained by another computer. It is strictly recommeded

to install an anti-virus software to close all security breaches.

 

 

Your IP address: 127.0.0.1

They know you're using: Internet Explorer

Your computer is: Intel® Pentium® M processor 1400MHz, 510.92 MB of RAM

 

Risk status for further investigation: VERY HIGH RISK

 

 

To protect your computer from spyware attacks - click here

To erase the tracks of your internet activity - click here"

 

Après vérif dans le panneau de config/affichage, mon papier peint habituel est bien sélectionné et visible dans l'aperçu mais rien n'y fait, impossible de le réobtenir à l'écran

 

Merci pour vos conseils

 

@+

[Apollo]

Bonsoir Rick 0369,

 

Ton Hijackthis est très mal placé.

C:\DOCUME~1\test\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

Afin d'obtenir des sauvegardes, place-le dans un répertoire dédié tel que C:\ Program Files ou "Mes documents".

 

C'est bien indiqué dans la procédure de Mégataupe.

 

Désolé de l'intrusion Qc001.

[Mark]

Bon matin Liegeois , et à toi Rick ;

 

Bon, quelques bestioles traînent par là, mais on peut tout de même avec Megataupe !!

 

Ok, voici la suite :

===============

 

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

@ bientôt

Modifié le 21 avril 2006 par Qc001

[Rick0369]

Voici le rapport:

 

SmitFraudFix v2.33b

 

Rapport fait à 9:35:39,09, ven. 21/04/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\uninstDsk.exe PRESENT !

C:\WINDOWS\warnhp.html PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\oleext.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\test\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\test\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="C:\\WINDOWS\\warnhp.html"

"SubscribedURL"=""

"FriendlyName"="Desktop Uninstall"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Ceci vous inspire t-il quelque chose

[naheulbeuk]

salut ! oui tu es encore infesté !

 

fais ceci :

 

Redémarre en mode sans échec (F8 lors du boot)

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question

 

Redémarre en mode normal

Post moi le 2ème rapport !

 

A+

[Rick0369]

Et voilà:

 

SmitFraudFix v2.33b

 

Rapport fait à 13:23:34,84, ven. 21/04/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\uninstDsk.exe supprimé

C:\WINDOWS\warnhp.html supprimé

C:\WINDOWS\system32\oleext.dll supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

On va y arriver...

[naheulbeuk]

ok cool !

 

1/ Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et me l'envoyer ici !

 

2/ fais un scan panda en ligne :

ici

et post moi le rapport de ce scan ici une fois terminé !

 

ps : si tu possède avast comme antivirus, désactive-le le temps du scan !

 

3/ repost aussi un nouveau rapport hijackthis stp !

 

A+