Victime du edlm2.exe

[Burma]

Bonjour,

 

j'ai un trojan horse system32\edlm2.exe qui est mis en quarantaine par Norton mais qui est recréé des que je lance Firefox, Emule ou StarOffice.

J'ai passé un coup d'AntiVir en safemode, sans résultat.

Voici le log du HiJackthis. Merci pour toute recommendation !

 

Burma

 

Logfile of HijackThis v1.99.1

Scan saved at 22:34:58, on 06/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\SYMANT~2\vptray.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\SYMANT~1\IAMAPP.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OLYMPUS\DeviceDetector\DevDtct2.exe

C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

C:\Program Files\Hercules\WiFi Station\WifiStation.exe

C:\Program Files\StarOffice7\program\soffice.exe

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\PROGRA~1\SYMANT~2\DefWatch.exe

C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe

C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE

C:\Program Files\Apache Group\Apache2\bin\Apache.exe

C:\PROGRA~1\SYMANT~2\Rtvscan.exe

C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\vptray.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\IAMAPP.EXE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: StarOffice 7.lnk = C:\Program Files\StarOffice7\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\OLYMPUS\DeviceDetector\DevDtct2.exe

O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Group\Apache2\bin\ApacheMonitor.exe

O4 - Global Startup: WiFi Station.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache2 - Unknown owner - C:\Program Files\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~2\DefWatch.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE

O23 - Service: Symantec Client Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~2\Rtvscan.exe

O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe

[Invité Laurent_62]

Bonsoir Burma,

 

Analyse en cours merci de patienter une vingtaine de minutes

[Invité Laurent_62]

Nous allons donc, si tu le veux bien procéder comme suit.

 

En cas de doute ou question n'hésites pas à demander idem si tu rencontres un problème essaies de penser à faire remonter l'information lors du post suivant.

 

** Imprime cette réponse car en mode sans echec tu n'auras pas accès à internet et ne pourra donc pas consulter cette réponse.

Au besoin copies la dans un fichier texte et enregistre dans un endroit facilement retrouvable.

 

Les étapes 2 à 5 inclues s'effectuent en mode sans echec

 

 

1/ Téléchargement / installation / mise à jour des Utilitaires:

 

ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

 

 

 

Ewido (version d'évaluation) http://download.ewido.net/ewido-setup.exe

 

- Pendant l'installation

- Sur la page Additional Options

- Décoche Install background guardet et Install scan via context menu

Lance Ewido Security Suite . Clique sur Mise à jour

Quitte Ewido pour le moment

 

 

 

2/ Désactivation des entrées néfastes

 

Redémarre en mode sans echec !!! imperatif !!! http://www.cfasi.net/index.php/2006/05/20/...mode-sans-echec

 

 

Relances Hijackthis (scanner seulement)

 

coche la case devant cette ligne

 

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

 

Clique sur le bouton fixer objet

 

 

3/ Suppression des fichiers

 

- Autorise l'affichage des fichiers et dossiers cachés

 

- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage

- Coche Afficher les Fichiers et dossiers cachés

- Décoche Masquer les fichiers protégés du système d'exploitation

- Décoche Masquer les extensions dont le type est connu

- clique sur Appliquer et Ok pour valider les changements

 

 

Démarrer, Exécuter, et tape (ou copier/coller):

regsvr32 /u C:\WINDOWS\SYSTEM32\ldr64.dll

et valider par Ok

 

 

Recherche et supprime ce fichier

 

C:\WINDOWS\SYSTEM32\ldr64.dll

 

 

4/ Nettoyage des dossiers temporaires

 

Lance ATF-Cleaner :

 

Coche ceci :

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

5/ Scan avec utilitaire

 

Lance Ewido

 

- Clique sur Scanner puis sur Scan complet du système

- Si des fichiers infectés sont trouvés, garde l'option par défaut Supprime avec la ligne Créer des copies de sauvegarde cryptées dans la quarantaine cochée

 

- A la fin du scan, Sauvegarde le rapport généré

 

 

6/ scan complémentaire en ligne

 

- Redémarre en mode Normal

 

Fais un scan ici avec Internet explorer

 

http://webscanner.kaspersky.fr/

 

le scan s'effectue en cliquant sur l'image sous Exécutez l'analyse en ligne

 

La rubrique démonstration en ligne te fournira l'aide nécessaire en cas de difficulté

 

 

7/ post des différents log / rapports

 

Post donc pour terminer

le rapport d'Ewido

Le rapport Kaspersky

Un nouveau log hijackthis pour contrôle

 

N'hésites pas à faire remarquer les difficultés ou soucis rencontrés.

 

Bon courage

 

Edit: Merci à regis56 pour son intervention

Modifié le 7 juillet 2006 par Laurent_62