probleme suite a page internet piegee

[nicolalala]

bonjour a tous , apres avoir visite une page piegee le resident de Antivir m a prevenu d unetentative d intrusion mais le mal etait fait ..

 

j ai tout de suite scanne avec tous les anti spy etanti virus mais ca n a pas retire la base du programe qui s est mis a changer de nom ...(une icone programme jamais vue avant cette date dans mon dossier C:)

 

apres jen avais pas de connexion directe en ouvrant l exploreur (page totalement vierge ) mais ca passait via mes favoris

 

par contre pas moyen d avoir acces a secuser.com ou a tout autre site necessitant une fenetre de renvoi ...

 

voici donc mon log apres une desinfection prealable ....

 

Logfile of HijackThis v1.99.1

Scan saved at 18:45:11, on 05/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\TFNF5.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\TOSHIBA\PadTouch\PadExe.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

C:\WINDOWS\System32\00THotkey.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sysTray] C:\Program Files\pjdkgply.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [backup4all OTB Agent] C:\Program Files\Backup4all\B4AOTB.exe

O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1136905653894

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O20 - Winlogon Notify: xdudtt - xdudtt.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

merci de me lire et de m aider si c possible

[tornado]

Bonsoir nicolalala et bienvenue sur le forum sécurité de zeb,

 

 

 

 

Ton rapport montre en effet des signes d'infections...

 

Avant qu'on aille désinfecter "directement", il te faut appliquer la procédure de pré-nettoyage --> http://forum.zebulon.fr/index.php?showtopic=83986

 

 

A+

 

 

PS:

 

Logfile of HijackThis v1.99.1

Scan saved at 18:45:11, on 05/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Ton système n'est pas à jour (pas de SP2). Cela signifie qu'il est soumis à des failles de sécurité, que des pirates peuvent exploiter.

Donc une fois qu'on aura désinfecter ton pc, il va falloir faire les màj Windows (je te le rappellerais)

Modifié le 5 juin 2006 par tornado

[nicolalala]

pour la procedure de prenettoyage je l ai faite comme indiquee mais rien n a ete trouve cette fois ci ..

 

en dehors de la derniere mise a jour spybot tout est a jour et j ai meme fait un scan ewido au cas ou

 

pour le sp2 c est vrai mais bon j suis pas encore certain de vouloir l nstaller ...

[tornado]

Re,

 

 

pour la procedure de prenettoyage je l ai faite comme indiquee mais rien n a ete trouve cette fois ci ..

 

en dehors de la derniere mise a jour spybot tout est a jour et j ai meme fait un scan ewido au cas ou

 

Ok

 

 

 

Commence par faire ceci :

 

Télécharger haxfix.exe

et le sauvegarde sur le bureau.

• Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
  
• Cocher "Create a desktop icon"
  
• Cliquer "Next"
  
• Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
  
• Cliquer "Finish"
  

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:

1. Make logfile (créer un rapport)

2. Run auto fix (lancer la réparation en mode automatique)

3. Run manual fix (lancer la réparation en mode manuel)

4. Run wnlogow fix (lancer la réparation pour wnlogow)

E. Exit Haxfix (quitter Haxfix)

• Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
  
• Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
  
• Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
  

-------------------------------------------------------------------------------------------------------

 

 

Ensuite, veux-tu bien faire analyser ce fichier : C:\Program Files\pjdkgply.exe

 

... par l'intermédiaire de ces 2 sites :

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne pjdkgply.exe, clique sur Ouvrir, puis sur Send )

 

 

Sur chacun des 2 sites, tu obtiendras normalement 1 rapport. Copie ces 2 rapports et ajoute-les dans ton prochain post.

 

 

 

 

A+

 

 

 

PS:

pour le sp2 c est vrai mais bon j suis pas encore certain de vouloir l nstaller ... icon_rolleyes.gif

 

Son installation est nécessaire pour avoir les dernières mises à jour de sécurité (déjà que Windows n'est pas bien sécurisé, c'est le minimum pour garder un système propre) . Mais pour l'instant, attend qu'on ait désinfecté ton pc avant de mettre à jour Windows.

Modifié le 5 juin 2006 par tornado

[nicolalala]

merci !!

 

en attendant j avais reussi a lancer un scan par secuser.com qui n a rien trouve non plus et par contre ma page d acceuil normale est revenue comme avant mais bon le mal rode toujours ...

 

voila le scan par haxfix

 

HAXFIX logfile - by Marckie

--------------

version 2.43

05/06/2006 22:56:23,90

 

checking for a3d files....

a3d files not found

 

checking for matching notify keys....

matching notify keys found

xdud

 

checking for matching services....

matching services found

CmBatt

xdudtt

xdudmm

 

checking for matching safeboot services....

matching safeboot services found

xdudtt.sys

xdudmm.sys

 

 

pour l analyse du programme je ne le trouve pas il etait bien la avant mais changait de nom j ai eu du mal a le mettre a la poubelle mais il ne reviens plus...

 

meme par l option recherche il n est pas trouve ..

 

j aurais du le laisser ???

 

 

merci de ton aide

[tornado]

Re,

 

pour l analyse du programme je ne le trouve pas il etait bien la avant mais changait de nom j ai eu du mal a le mettre a la poubelle mais il ne reviens plus...

 

Si il changeait de nom ... c'est qu'il était sûrement infectieux.

 

Je ne sais si le supprimer a changé quelque chose, en sachant que le malware en question a peut-être recréé une clé run (qui permet au malware de se lancer au démarrage). Le prochain rapport Hijackthis nosu en informera ...

 

 

 

On va pour l'instant s'occuper de l'autre infection, puisque Haxfix a bien détecté la présence d'Haxdoor sur ton système :

 

 

Option 2 autofix (réparation automatique)

• Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
  (ou double-cliquer sur l'icone du bureau fix.bat )
  
• Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
  
• Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"
  

si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

• Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
  
• La machine sera re-démarrée
  
• En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
  
• Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .
  

A+ et bonne chance

Modifié le 5 juin 2006 par tornado

[nicolalala]

effectivement il a du trouver qqe chose

 

voila le rapport

 

HAXFIX logfile - by Marckie

--------------

version 2.43

05/06/2006 23:38:12,93

 

Auto Haxdoorfix

 

 

haxdoor key: xdud

searching for services....

services found

deleting services.....

[sWSC] DeleteService SUCCESS

[sWSC] DeleteService SUCCESS

 

 

rebooting the computer.....

 

 

haxdoor key: xdud

searching for services....

services not found

 

checking if files are found.....

xdudtt.dll

 

deleting files.....

 

checking if files are deleted.....

 

 

checking for other files.....

f87ux.ini

 

deleting other files.....

 

checking if the files are deleted.....

 

 

Finished

[nicolalala]

pour ce soir je coupe mais j espere pouvoir te retrouver demain ...

 

bonne nuit!

 

et merci encore

[nicolalala]

voila le raport qui a ete fait ce matin en demarant la machine..

je n ai pas lance le programme il a tourne tout seul

 

HAXFIX logfile - by Marckie

--------------

version 2.43

05/06/2006 23:38:12,93

 

Auto Haxdoorfix

 

 

haxdoor key: xdud

searching for services....

services found

deleting services.....

[sWSC] DeleteService SUCCESS

[sWSC] DeleteService SUCCESS

 

 

rebooting the computer.....

 

 

haxdoor key: xdud

searching for services....

services not found

 

checking if files are found.....

xdudtt.dll

 

deleting files.....

 

checking if files are deleted.....

 

 

checking for other files.....

f87ux.ini

 

deleting other files.....

 

checking if the files are deleted.....

 

 

Finished

checking for other files.....

 

deleting other files.....

 

checking if the files are deleted.....

 

 

Finished

[tornado]

Salut Nicolalala,

 

 

 

 

Haxfix a apparemment bien fonctionné... pourrais-tu faire un nouveau scan Hijackthis et poster le rapport, afin de s'en assurer ?

 

 

 

A+