Toujours les mêmes trojan qui reviennent

[AllCapone]

Bonjour,

 

Comme dans la majorité de mes formatages windows xp, je me retrouve dès la première connexion avec le trojan désigné par Kaspersky "Trojan-Downloader.BAT.Ftp.ab", et je vois que cela arrive à beaucoup de monde... Si bien que je me demande si un port Ftp n'est pas ouvert automatiquement par windows xp pour permettre le téléchargement des mêmes fichiers du style : c:\windows\system32\i, ou "o", ou "ii", ou encore "iii"...qui ressemblent fort à des routines d'espionnage.

 

Alors, je me demande si mon kaspersky 6.0 (inclus internet security) gère bien l'ouverture des ports par rapport à l'ancien anti-hacker, qui était diablement efficace. Any comments ?

 

Voici mon rapport HijackThis en mode normal: (l'installation est toute récente)

 

Logfile of HijackThis v1.99.1

Scan saved at 18:49:57, on 11/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

F:\Logiciels\Protection\KAV\avp.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\MMTray.exe

F:\Logiciels\Protection\KAV\avp.exe

C:\Program Files\Digidesign\Drivers\MMERefresh.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\devldr32.exe

F:\LOGICI~1\INTERNET\FIREFOX\FIREFOX.EXE

E:\Firefox Downloads\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Logiciels\Utilitaires\Acrobat Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kav] "F:\Logiciels\Protection\KAV\avp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Program Files\Digidesign\Drivers\MMERefresh.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Logiciels\Protection\KAV\scieplugin.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - F:\Logiciels\Protection\KAV\avp.exe

O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Je poste de suite le rapport en sans echec. Je tiens à préciser que je viens juste de supprimer le trojan avec la dernière détection de KAV.

Modifié le 11 juin 2006 par AllCapone

[AllCapone]

Et voilà celui en sans echec :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:27:41, on 11/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

E:\Firefox Downloads\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Logiciels\Utilitaires\Acrobat Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kav] "F:\Logiciels\Protection\KAV\avp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Program Files\Digidesign\Drivers\MMERefresh.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MMTray] MMTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Logiciels\Protection\KAV\scieplugin.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - F:\Logiciels\Protection\KAV\avp.exe

O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Avez-vous une idée ? Moi Plus... Merci de votre aide, si jamais. J'ai quand même des doutes sur les entrées 02 (car adobe télécharge automatiquement un trojan grace à son nouvel utilitaire de téléchargement automatique sur son site, c'est à savoir !), 03 et 020.

Modifié le 11 juin 2006 par AllCapone

[AllCapone]

J'ai supprimé l'entrée nwiz.exe /install, qui me paraissait bizarre... Pourquoi a-t'elle la commande "install" dans la mesure où mes pilotes nvidia sont déjà installés...?

 

Petit P.S. : Kaspersky vient de m'en trouver un autre, oeuvrant grâce à l'exploitation de rundll.exe dans system32 "Backdoor.Win32.Rbot.gen", est-il lié au précédent ???

Merci de votre aide.

Modifié le 11 juin 2006 par AllCapone

[Malekal_morte]

Bonsoir AllCapone,

 

Ne touche pas à Klogon.dll, il appartient à Kaspersky.

 

Ton ordinateur n'est pas à jour et donc vulnérable si tu te connectes avec un modem.

Installe un firewall comme ZoneAlarm, cela ne sert à rien de commencer les manipulations qui vont suivre.

[Malekal_morte]

- Télécharge et installe ewido

- Mets le à jour à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

-- Redémarre en mode normal

 

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

 

-- Copie/Colle ici les rapports :

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

[AllCapone]

Bonsoir AllCapone,

 

Ne touche pas à Klogon.dll, il appartient à Kaspersky.

 

Ton ordinateur n'est pas à jour et donc vulnérable si tu te connectes avec un modem.

Installe un firewall comme ZoneAlarm, cela ne sert à rien de commencer les manipulations qui vont suivre.

 

 

Bonsoir Malekal_morte,

 

Effectivement, après une petite recherche internet, j'ai vu que klogon.dll était un module de l'application de kaspersky. Cepentdant, ce nwiz.exe, avec la commande install me paraissait bizarre...Exit l'entrée du registre !

 

Par contre, est-ce que tu sais si la nouvelle mouture de Kaspersky gère le firewall ? Car impossible d'installer le anti-hacker, KAV ne le permettant pas...

 

Merci pour ta réponse, mais étant donné que c'est une install propre censée etre optimisée pour le travail, je ne préfère pas commencer à installer tout un tas d'antispy, antimalwares et autres...Je voudrais juste fermer les ports utiles au trojan pour telecharger ses modules, ou effacer le fichier responsable de tous mes tracas...

 

Comme tu as pu le remarquer, l'installation est MINIMALE, et optimisée qui plus est, alors la seule question est : est-ce windows lui-même qui à installé le trojan-downloader, ou est-ce une appli que j'ai installé ?

 

Mes logs installés :

 

Mise à jour windows vers sp1a

DirectX 9.0c

WMP 10

Pilotes pour la P4P800

Pilotes Nvidia officiels (derniers en dates)

Nero 7 ultra-edition (uniquement le module de gravure, neroscout désactivé...)

Firefox 1.5.0.4 (dernière version)

Kaspersky AntiVirus 6.0.0.229 (impossible d'installer AntiHacker, car apparement, ma version gère le firewall)

Ad-Aware Personal et Spybot SD (dernières versions, scan antivirus effectué puis scan antispy)

Acrobat Reader 7 (là, j'ai de gros doutes dans la mesure où Adobe t'envoie un trojan lorsque tu démarres le téléchargement en ligne...Intercepté avec KAV, mais bon, on n'est jamais sûr)

VirtualDubMod (là, c'est une appli stand-alone, donc no souci...)

Codec Morgan Jpeg (pas de probs, dans la mesure où je m'en sers au boulot, il a été vérifié...)

DaemonTools 4.086 (sans leur toolbar, donc à priori pas de soucis. De toutes façons, le problème était déjà apparu avant son installation...)

Winrar 3.61

MediaFour macdrive (pas de soucis ici aussi, je l'utilise au boulot)

 

J'ai désactivé tout service windows superficiel, tel service de rapports d'erreurs, affichage des messages (tellement utile pour faire apparaitre de joulis messages dès la première connexion), et mises à jour automatiques ( je ne veux surtout pas du pack 2, vu le nombre de ressources qu'il pompe)...

 

Alors, une idée ??? Il y a juste l'internet explorer qui me taquine...est-ce que j'installe sa mise à jour vers le 6 et son correctif de sécurité ou je peux garder le 5, dans la mesure ou je ne me sers que de firefox...

Modifié le 11 juin 2006 par AllCapone

[AllCapone]

Bon, petite rectification, Malekal_morte, je viens de regarder sur le site de kaspersky, et...anti-hacker est complémentaire de la dernière version de leur antivirus, internet security ne permettant que de scanner les entrées et commandes contenues dans les pages html...

 

Donc, je reboot mon ordi, je tente la réinstallation de KAH, dans la mesure où il m'avait été interdit à l'installation de KAV, et là, miraaaaacllleeeeee.......il s'installe et se lance...Et quelle ne fut pas ma grande surprise lorsque je chope un petit plaisantin de chez noos qui m'envoie un echo entrant en...FTP !!! J'ai noté son adresse, on sait jamais, je pourrais être pris de dellationnite aigüe auprès de mon FAI...

Donc, je crois que mon problème est résolu, enfin pour l'instant. Je te tiens au courant, si jamais...

En tout cas, merci pour tes conseils, sinon je n'aurais probablement pas réessayé l'installation de mon firewall préféré...

[Malekal_morte]

OK c'est cool

 

Bonne soirée