Malware, Virus??

[Funky-Fresh]

Bonjour à tous;

 

il y a quelques jours je me suis attrapé un malware: virtumode que j'ai pu supprimer à l'aide d'un petit utilitaire de supression.

mais mon PC semble encore infecté (je ne sais pas si ca a un lien avec virtumode par contre).

Symptomes: le repertoire C:\Windows\Temp se fait envahir de fichiers nommés "win1.tmp, win2.tmp... etc" a un rythme plus ou moins régulier, ça peut aller jusqu'à 3/minute. Ce sont des fichiers qui font 0Ko et qui semblent vides.

 

Spybot ne détecte rien; AdAware non plus.

Un scan avec avast n'a décelé aucune infection.

 

Voici le log HiJackThis:

Logfile of HijackThis v1.99.1

Scan saved at 09:12:13, on 10/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Utilitaires\Avast4\aswUpdSv.exe

C:\Program Files\Utilitaires\Avast4\ashServ.exe

C:\Program Files\Wincustom\WindowBlinds\wbload.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet\Kerio\persfw.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Utilitaires\Avast4\ashMaiSv.exe

C:\Program Files\Utilitaires\Avast4\ashWebSv.exe

C:\PROGRA~1\UTILIT~1\Avast4\ashDisp.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Utilitaires\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\UTILIT~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Work\Office\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\WINCUS~1\WINDOW~1\fastload.dll

O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Program Files\Wincustom\IconPackager\iprepair.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Utilitaires\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Utilitaires\Perfect Disk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Utilitaires\Perfect Disk\PDSched.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Internet\Kerio\persfw.exe

Je ne vois rien de trop bizarre mais je suis loin d'etre un expert!

Des idées??

Modifié le 10 juillet 2006 par Funky-Fresh

[Invité Diana]

Salut,

Savoir si c encore un malware possible, mais les fichiers tmp résultent peut etre dun bon soft qui fonctionne en RAM.

La soluce pour savoir quel soft créer ces tmp, désactive tous les softs au démarrage, même le Firewall(débranche le modem) avec msconfig. Puis réactive-les un à un.

 

Si après le 1er redémarrage et malgré la désactivation des softs(à vérifier en RAM), les tmp sont là et impossible de les effacer(donc en utilisation), vérifier les ports ouverts et les softs qui les utilisent, les services suspects, ainsi que les pilotes.

Voilà.

Modifié le 10 juillet 2006 par Diana

[bruce lee]

Bonjour,

 

Analyse en cours, retour dans 15 minutes

[bruce lee]

re,

 

 

 

1/Télécharge http://www.ewido.net/en/download/ Ewido anti-spyware

 

Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

 

Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

 

Ferme Ewido. Ne pas le lancer tout de suite.

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/supprime ce qui est en gras:

 

C:\WINDOWS\SYSTEM32\ winwea32.dll<== le fichier

 

 

6/ Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

 

Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.

 

Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

 

 

7/redemarre en mode normal

 

8/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[Funky-Fresh]

Merci beaucoup

 

J'ai fait tout ca;

 

voici le rapport ewido:

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 13:00:08 10/07/2006

 

+ Scan result:

 

 

 

HKU\S-1-5-21-1757981266-1085031214-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\0\0\9\0\0\3 -> Adware.KeenValue : Cleaned with backup (quarantined).

C:\Program Files\Utilitaires\HijackThis\backups\backup-20060706-014550-976.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\Program Files\Utilitaires\HijackThis\backups\backup-20060706-014615-428.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\WINDOWS\system32\regperf.exe -> Downloader.Zlob.xb : Cleaned with backup (quarantined).

 

 

::Report end

J'ai supprimé la clé registre à la main et supprimé regperf.exe avec un effaceur de sécurité

idem pour winwea32.dll

rapport HiJackThis après reboot:

Logfile of HijackThis v1.99.1

Scan saved at 13:22:55, on 10/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Utilitaires\Avast4\aswUpdSv.exe

C:\Program Files\Utilitaires\Avast4\ashServ.exe

C:\Program Files\Wincustom\WindowBlinds\wbload.exe

C:\Program Files\Utilitaires\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Internet\Kerio\persfw.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Utilitaires\Avast4\ashMaiSv.exe

C:\Program Files\Utilitaires\Avast4\ashWebSv.exe

C:\PROGRA~1\UTILIT~1\Avast4\ashDisp.exe

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Utilitaires\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\UTILIT~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\Utilitaires\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Work\Office\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\WINCUS~1\WINDOW~1\fastload.dll

O20 - Winlogon Notify: winwea32 - winwea32.dll (file missing)

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Program Files\Wincustom\IconPackager\iprepair.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Utilitaires\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Utilitaires\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\Utilitaires\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Utilitaires\Perfect Disk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Utilitaires\Perfect Disk\PDSched.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Internet\Kerio\persfw.exe

Reste çà savoir si ca a fonctionné; pour l'instant RAS.

[bruce lee]

re,

 

1/ demarre en mode sans echec

 

2/ avec hijackthis, tu coches et tu fixes cette ligne:

 

O20 - Winlogon Notify: winwea32 - winwea32.dll (file missing)

 

 

3/ redemarre en mode normal et repost un nouveau rapport hijackthis.

 

@+

[Funky-Fresh]

C'est fait

 

apparemment tout est rentré dans l'ordre.

Un très très grand merci :P

[bruce lee]

re,

 

repost quand meme un log hijackthis a titre de verification.

 

Si tu le souhaites, et je te le conseil fortement:

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

@+