[resolu] win32/sinowal.gen ?

win32/sinowal.gen ? [resolu] - Sécurité - Windows & Software

Marsh Posté le 21-12-2006 à 20:09:20    

salut,
lors d'une récente maj XP du 12décembre (KB923689 ou KB890830 suppression d'objet malveillant) le scan de cette maj m'a trouvé une merde : PWS:win32/sinowal.gen
ma recherche google a été totalement infructueuse (que des sites en espagnol)
 
mes scans avec bitdefender ou adaware ou norton a jour ne voient absolument rien.
 
j'aimerai bien savoir comment me débarrasser de ce truc ( vers, virus, trojan ou malware je sais meme pas !)


Message édité par acnoar le 07-01-2007 à 07:15:22
Reply

Marsh Posté le 21-12-2006 à 20:09:20   

Reply

Marsh Posté le 22-12-2006 à 11:55:51    

Reply

Marsh Posté le 22-12-2006 à 13:40:04    


 
wep,
pas de solution proposé par microsoft (ni vraiment d'explications)
et le site avira.com reference quelques variantes de sinowal, mais pas la mienne sinowal.gen
pas de solutions proposé non plus, au passage bitdefender est censé reconnaitre les Trojan.PWS.Sinowal.U mais moi il ne trouve rien.
 
j'ai refait un scan avec la maj XP KB890830, il trouve toujours le trojan lors de l'analyse, mais n'est pas capable de le supprimer.
 
> up

Reply

Marsh Posté le 22-12-2006 à 13:43:21    

vite fait, de quoi est capable un sinowal :
Quand le Win32/Sinowal Trojan est installé, il peut rechercher l'ordinateur infecté un certificat cryptographique avec une clef privée correspondante. S'il trouve un tel certificat, le Trojan peut installer un certificat sur l'ordinateur sans autorisation d'utilisateur en arrêtant certains appels de fonction de Windows api. L'installation et l'utilisation de ce certificat est prévue pour tromper des utilisateurs fixent dedans des transactions de Web de la couche de douilles (SSL). Win32/Sinowal peut également voler des noms et des mots de passe d'utilisateur pour des comptes d'E-mail. Il peut des qualifications de compte voler de ftp et de HTTP client aussi bien, en particulier pour des sites Web en ligne d'opérations bancaires. Le Trojan peut alors télécharger les qualifications capturées de compte aux sites Web indiqués par l'attaquant. Les variantes des composants d'un certain Win32/Sinowal peuvent également ouvrir un secret sur un port aléatoire-choisi de TCP.  
(mauvaise traduction google...)
 
pas cool :/


Message édité par acnoar le 22-12-2006 à 13:43:48
Reply

Marsh Posté le 22-12-2006 à 14:19:47    

Au fait, si c'est l'utilitaire "suppression d'objet malveillant" qui a touver le Win32/Sinowal, alors il l'a aussi supprimé...
 
C'est l'objectif de la suppression d'objet malveillant, donc normal qu'un AV ne voit rien maintenant.

Reply

Marsh Posté le 22-12-2006 à 19:36:11    

rz1 a écrit :

Au fait, si c'est l'utilitaire "suppression d'objet malveillant" qui a touver le Win32/Sinowal, alors il l'a aussi supprimé...
 
C'est l'objectif de la suppression d'objet malveillant, donc normal qu'un AV ne voit rien maintenant.


 
nonon, la maj me dit, apres le scan, avoir trouvé 1 élément infecté, deplacement ou suppression impossible.
 
Pour preuve si je relance la meme maj XP, il me retrouve le meme element infecté, et ne le supprime pas.

Reply

Marsh Posté le 23-12-2006 à 22:40:07    

Slt,
 
Je viens d'avoir le même cas ici :
http://www.cybertechhelp.com/forum [...] p?t=141967
 
Ce n'était que la partie visible de l'iceberg. Il faudrait savoir ce qui tourne exactement sur ta machine. Poste un log HijackThis, stp.

Reply

Marsh Posté le 23-12-2006 à 23:08:01    

voici :
Logfile of HijackThis v1.99.1
Scan saved at 23:07:40, on 23/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msasvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\P2PHazard\P2PHazard.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
D:\TELECHARGEMENTS\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://


Message édité par acnoar le 23-12-2006 à 23:08:56
Reply

Marsh Posté le 23-12-2006 à 23:09:34    

la suite :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdnagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
 

Reply

Marsh Posté le 23-12-2006 à 23:10:39    

voici :
Logfile of HijackThis v1.99.1
Scan saved at 23:07:40, on 23/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msasvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\P2PHazard\P2PHazard.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
D:\TELECHARGEMENTS\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.micr

Reply

Marsh Posté le 23-12-2006 à 23:10:39   

Reply

Marsh Posté le 23-12-2006 à 23:30:01    

Ok. Alors d'abord :
 
Clique "Démarre" -> "Exécuter" et tape :
services.msc
-> ok
Double clique : Microsoft authenticate service (MsaSvc)  
Vérifie que le chemin d'accès est bien : C:\WINDOWS\system32\msasvc.exe  
puis règle-le sur "Arrêté" et démarrage "Désactivé".
Ferme le gestionnaire des services.
 
Lance HijackThis -> config -> misc tools -> open process manager
Si : C:\WINDOWS\system32\msasvc.exe est présent, sélectionne-le et clique "Kill process".
 
Toujours dans HijackThis -> config -> misc tools -> delete an NT service
Dans la boîte de dialogue, tape : MsaSvc
->Ok et suis les indications.
 
Toujours dans HijackThis -> config -> misc tools -> delete a file on reboot
Sélectionne : C:\WINDOWS\system32\msasvc.exe  
(I faudra peut-être que tu aies accès aux fichiers cachés)
Laisse l'ordi redémarrer.
 
Ensuite, tu téléchargeras combofix.
Tu le double-cliques, tu réponds "Y" +Entrée et il va scanner ton ordi.
Ne touche à rien pendant le scan (ni souris ni clavier).
A la fin il affichera un rapport que je te demande de copier/coller ici.
 

Reply

Marsh Posté le 23-12-2006 à 23:32:09    


wow
et là je viens de me taper un reboot juste en faisant un f5 sur une page ie.
 
j'ai une maj XP qui passe pas aussi:
Quand j'installe la maj KB926255, le pc reboot 10s apres apres avoir lancé la maj.
je sais pas si c'est lié... :/

Reply

Marsh Posté le 23-12-2006 à 23:33:11    

acrobaze a écrit :

Ok. Alors d'abord :
 
Clique "Démarre" -> "Exécuter" et tape :
services.msc
-> ok
Double clique : Microsoft authenticate service (MsaSvc)  
Vérifie que le chemin d'accès est bien : C:\WINDOWS\system32\msasvc.exe  
puis règle-le sur "Arrêté" et démarrage "Désactivé".
Ferme le gestionnaire des services.
 
Lance HijackThis -> config -> misc tools -> open process manager
Si : C:\WINDOWS\system32\msasvc.exe est présent, sélectionne-le et clique "Kill process".
 
Toujours dans HijackThis -> config -> misc tools -> delete an NT service
Dans la boîte de dialogue, tape : MsaSvc
->Ok et suis les indications.
 
Toujours dans HijackThis -> config -> misc tools -> delete a file on reboot
Sélectionne : C:\WINDOWS\system32\msasvc.exe  
(I faudra peut-être que tu aies accès aux fichiers cachés)
Laisse l'ordi redémarrer.
 
Ensuite, tu téléchargeras combofix.
Tu le double-cliques, tu réponds "Y" +Entrée et il va scanner ton ordi.
Ne touche à rien pendant le scan (ni souris ni clavier).
A la fin il affichera un rapport que je te demande de copier/coller ici.


 
ok, je fait ça.
 :jap:  merci de t'interesser a mon probleme.
a tout de suite

Reply

Marsh Posté le 24-12-2006 à 00:01:21    


ok donc :
NOAR - 06-12-24  0:04:08,14    Service Pack 2
ComboFix 06.11.27 - Running from: "D:\TELECHARGEMENTS\Hijackthis"
 
(((((((((((((((((((((((((((((((   Files Created from 2006-11-24 to 2006-12-24  ))))))))))))))))))))))))))))))))))
 
 
2006-12-23 23:48 <REP> dr-h----- C:\Documents and Settings\NOAR\Recent
2006-12-20 19:39 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-12-20 19:37 98,304 --a------ C:\WINDOWS\system32\PSCLU113.dll
2006-12-20 19:37 53,248 --a------ C:\WINDOWS\system32\pscND113.exe
2006-12-20 19:37 49,152 --a------ C:\WINDOWS\system32\pscVSWIA.dll
2006-12-20 19:37 356,352 --a------ C:\WINDOWS\system32\pscUD113.dll
2006-12-20 19:36 2,641,973 --a------ C:\WINDOWS\system32\opapi11.dll
2006-12-20 19:35 <REP> d-------- C:\Program Files\Canon
2006-12-20 19:34 <REP> d-------- C:\Documents and Settings\NOAR\WINDOWS
2006-12-16 20:08 <REP> d--hs---- C:\Config.Msi
2006-12-16 19:43 <REP> d-------- C:\WINDOWS\Minidump
2006-12-16 19:25 <REP> d-------- C:\WINDOWS\pss
2006-12-13 10:15 <REP> d-------- C:\Documents and Settings\NOAR\Application Data\ATI
2006-12-13 10:00 <REP> dr--s---- C:\WINDOWS\assembly
2006-12-13 09:59 <REP> d-------- C:\WINDOWS\Microsoft.NET
2006-12-13 09:56 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-12-13 09:56 <REP> d-------- C:\Program Files\ATI Technologies
2006-12-08 20:37 <REP> d-------- C:\WINDOWS\WBEM
2006-12-08 20:37 <REP> d-------- C:\WINDOWS\system32\fr-fr
2006-12-08 20:36 <REP> d--h-c--- C:\WINDOWS\ie7
2006-12-08 20:34 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-12-08 20:33 <REP> d-------- C:\WINDOWS\network diagnostic
2006-12-08 20:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
2006-11-30 11:22 <REP> d-------- C:\Program Files\QuickPar
 
 
((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))
 
[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]
 
2006-12-23 23:52 -------- d-------- C:\Program Files\P2PHazard
2006-12-22 08:03 -------- d-------- C:\Program Files\eMule Oxygen
2006-12-20 13:28 -------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2006-12-16 20:30 73728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-12-13 09:59 -------- d-------- C:\Program Files\Internet Explorer
2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-18 12:21 -------- d-------- C:\Program Files\Save Flash
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-28 11:30 -------- d-------- C:\Program Files\Google
2006-10-26 14:08 40960 --a------ C:\WINDOWS\system32\frapsvid.dll
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-13 13:36 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:36 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"STYLEXP"="C:\\Program Files\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DrvLsnr"="C:\\Program Files\\Analog Devices\\SoundMAX\\DrvLsnr.exe"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDNewsAgent"="C:\\Program Files\\Softwin\\BitDefender Professional Edition\\bdnagent.exe"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"BDSwitchAgent"="C:\\Program Files\\Softwin\\BitDefender Professional Edition\\bdswitch.exe"
"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\""
"DU Meter"="C:\\Program Files\\DU Meter\\DUMeter.exe"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
  65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
 
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
 
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fb,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
  00,00,01,00,00,00
 
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
 
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]  
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
 
 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
 
Completion time: 06-12-24  0:04:55.01  
C:\ComboFix.txt ... 06-12-24 00:04

Reply

Marsh Posté le 24-12-2006 à 09:06:22    

Voilà, il y a un rootkit. On va avoir besoin d'un autre log :
 
Tu vas télécharger GMer sur :
http://www.majorgeeks.com/GMER_d5198.html
Dézippe-le et double-clique GMer.exe
Clique l'onglet "Rootkit" et "Scan".
Quand il aura terminé son scan, clique "Copy".
Ouvre le bloc notes (Démarrer->exécuter->tape:  notepad   et ok)., Dans le menu "Edition", choisis "Coller". Le log doit apparaître. Enregistre-le sur ton bureau et copie/colle le ici, stp.

Reply

Marsh Posté le 24-12-2006 à 20:46:36    

de re-
 
alors quand je lance GMer, il m'annonce direct  :
 
WARNING !
GMER has found system modification, which might have been caused by ROOTKIT activity.
 
service       C:\WINDOWS\system32:lzx32.sys(***hidden***)         [SYSTEM]pe386
 
malheureusement, je n'arrive pas a faire unscan avec GMer jusqu'à la fin, mon pc reboot avant. (essayé 3 fois, 3 reboot)
j'ai quand meme pu faire un save log avant que ça reboot, ça donne ça :
 
http://starnoar.free.fr/noar/GMer%20scan.txt


Message édité par acnoar le 25-12-2006 à 10:29:58
Reply

Marsh Posté le 26-12-2006 à 20:32:13    

up

Reply

Marsh Posté le 26-12-2006 à 22:25:22    

au lieu de te faire chier formate proprement et réinstalle windows??

Reply

Marsh Posté le 27-12-2006 à 08:15:21    


lol.
c'est mon pc sur lequel je je n'utilise qu'internet. J'ai pas mal de truc d'installé. Le probleme n'est pas directement gênant, mis a part les quelques reboot que j'ai des fois, aléatoirement.
Je pense que ma merde n'est pas si grave que ça, au point de faire une réinstalle.

Reply

Marsh Posté le 28-12-2006 à 10:54:47    

up

Reply

Marsh Posté le 30-12-2006 à 00:09:56    

Salut !
 
Si tu veux plus d'info concernant le malware qui se trouve sur ta machine, cherche plutôt du côté de la Backdoor.Rustock.b ou encore le trojan Spam-Mailbot.c (noms différents donnés par deux AV distincts mais même malware ;)
Un outil a été developpé pour supprimer le rootkit: Rustbfix (plus d'info ici: http://www.geekstogo.com/forum/How [...] 40682.html ), mais rien ne garantit que tu sois infecté uniquement par la Backdoor.Rustock (j'ai à peine regardé les logs que tu as postés... mais ça pourrait expliquer la référence à Sinowal.gen aussi)
 
Mais dans l'idéal je te conseillerais - si tu comprends l'anglais - de lire la page linkée ci-dessous et de faire ce qui y est suggéré:
http://www.castlecops.com/t102301- [...] sting.html
Ils sont tous compétents, ne te laisseront pas en plan, et surtout ce forum est entièrement destiné aux infections virales, logs hijackthis etc :)


Message édité par elooo le 30-12-2006 à 00:15:27

---------------
*** The Astro Codex - An Encyclopedia of Astrology ***
Reply

Marsh Posté le 31-12-2006 à 13:14:59    

merci eloo pour ces directives, mais apparement pas de Rustock.b-files
 
 
************************* Rustock.b-fix -- By ejvindh *************************
31/12/2006 13:19:10,53
 
Rustock.b-driver on the system: NONE!
 
Rustock.b-ADS attached to the System32-folder:
  :lzx32.sys                              69038
Total size: 69038 bytes.
Attempting to remove ADS...
system32: deleted 69038 bytes in 1 streams.
 
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
 
 
******************* Post-run Status of system *******************
 
Rustock.b-driver on the system: NONE!
 
Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.
 
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
 
 
******************************* End of Logfile ********************************


Message édité par acnoar le 31-12-2006 à 13:15:42
Reply

Marsh Posté le 31-12-2006 à 14:01:01    

enfin pu terminer un scan GMer :
 
GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-31 14:05:24
Windows 5.1.2600 Service Pack 2
 
 
---- System - GMER 1.0.12 ----
 
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwClose
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwCreateKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwDeleteKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwDeleteValueKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwEnumerateKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwEnumerateValueKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwFlushKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwLoadKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\filespy.sys                                                   ZwOpenFile
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwOpenKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwQueryKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwQueryValueKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwSetValueKey
SSDT   \??\C:\Program Files\Softwin\BitDefender Professional Edition\regspy.sys                                                    ZwUnloadKey
 
---- User code sections - GMER 1.0.12 ----
 
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] kernel32.dll!LoadLibraryA                                                  7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!sendto                                                          719F2C69 5 Bytes  JMP 10002C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!recvfrom                                                        719F2D0F 5 Bytes  JMP 10002C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!bind                                                            719F3E00 5 Bytes  JMP 10002F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!connect                                                         719F406A 5 Bytes  JMP 10002D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!send                                                            719F428A 5 Bytes  JMP 10002A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!gethostbyname                                                   719F4FD4 5 Bytes  JMP 10002CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!recv                                                            719F615A 5 Bytes  JMP 018C48A6 C:\Program Files\MessengerPlus! 3\MsgPlusH.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!listen                                                          719F88D3 5 Bytes  JMP 100029E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!closesocket                                                     719F9639 5 Bytes  JMP 10002F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] WS2_32.dll!accept                                                          71A01028 5 Bytes  JMP 10002E10 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\MSN Messenger\msnmsgr.exe[1064] SHELL32.dll!Shell_NotifyIcon                                               7CA30C69 5 Bytes  JMP 018C1163 C:\Program Files\MessengerPlus! 3\MsgPlusH.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] kernel32.dll!LoadLibraryA                                      7C801D77 5 Bytes  JMP 00382F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!sendto                                              719F2C69 5 Bytes  JMP 00382C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!recvfrom                                            719F2D0F 5 Bytes  JMP 00382C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!bind                                                719F3E00 5 Bytes  JMP 00382F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!connect                                             719F406A 5 Bytes  JMP 00382D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!send                                                719F428A 5 Bytes  JMP 00382A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!gethostbyname                                       719F4FD4 5 Bytes  JMP 00382CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!listen                                              719F88D3 5 Bytes  JMP 003829E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!closesocket                                         719F9639 5 Bytes  JMP 00382F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe[1116] WS2_32.dll!accept                                              71A01028 5 Bytes  JMP 00382E10 C:\WINDOWS\system32\sockspy.dll
.text  D:\TELECHARGEMENTS\Hijackthis\gmer.exe[2204] kernel32.dll!LoadLibraryA                                                      7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] KERNEL32.dll!LoadLibraryA                                           7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!sendto                                                   719F2C69 5 Bytes  JMP 10002C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!recvfrom                                                 719F2D0F 5 Bytes  JMP 10002C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!bind                                                     719F3E00 5 Bytes  JMP 10002F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!connect                                                  719F406A 5 Bytes  JMP 10002D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!send                                                     719F428A 5 Bytes  JMP 10002A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!gethostbyname                                            719F4FD4 5 Bytes  JMP 10002CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!listen                                                   719F88D3 5 Bytes  JMP 100029E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!closesocket                                              719F9639 5 Bytes  JMP 10002F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2388] ws2_32.dll!accept                                                   71A01028 5 Bytes  JMP 10002E10 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] KERNEL32.dll!LoadLibraryA                                           7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!sendto                                                   719F2C69 5 Bytes  JMP 10002C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!recvfrom                                                 719F2D0F 5 Bytes  JMP 10002C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!bind                                                     719F3E00 5 Bytes  JMP 10002F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!connect                                                  719F406A 5 Bytes  JMP 10002D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!send                                                     719F428A 5 Bytes  JMP 10002A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!gethostbyname                                            719F4FD4 5 Bytes  JMP 10002CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!listen                                                   719F88D3 5 Bytes  JMP 100029E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!closesocket                                              719F9639 5 Bytes  JMP 10002F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe[2396] ws2_32.dll!accept                                                   71A01028 5 Bytes  JMP 10002E10 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] kernel32.dll!LoadLibraryA                                                    7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!sendto                                                            719F2C69 5 Bytes  JMP 10002C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!recvfrom                                                          719F2D0F 5 Bytes  JMP 10002C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!bind                                                              719F3E00 5 Bytes  JMP 10002F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!connect                                                           719F406A 5 Bytes  JMP 10002D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!send                                                              719F428A 5 Bytes  JMP 10002A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!gethostbyname                                                     719F4FD4 5 Bytes  JMP 10002CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!listen                                                            719F88D3 5 Bytes  JMP 100029E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!closesocket                                                       719F9639 5 Bytes  JMP 10002F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\P2PHazard\P2PHazard.exe[3016] ws2_32.dll!accept                                                            71A01028 5 Bytes  JMP 10002E10 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] kernel32.dll!LoadLibraryA        7C801D77 5 Bytes  JMP 10002F70 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!sendto                719F2C69 5 Bytes  JMP 10002C90 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!recvfrom              719F2D0F 5 Bytes  JMP 10002C20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!bind                  719F3E00 5 Bytes  JMP 10002F00 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!connect               719F406A 5 Bytes  JMP 10002D20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!send                  719F428A 5 Bytes  JMP 10002A20 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!gethostbyname         719F4FD4 5 Bytes  JMP 10002CF0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!listen                719F88D3 5 Bytes  JMP 100029E0 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!closesocket           719F9639 5 Bytes  JMP 10002F40 C:\WINDOWS\system32\sockspy.dll
.text  C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe[3732] ws2_32.dll!accept                71A01028 5 Bytes  JMP 10002E10 C:\WINDOWS\system32\sockspy.dll
 
---- Files - GMER 1.0.12 ----
 
 
---- EOF - GMER 1.0.12 ----


Message édité par acnoar le 31-12-2006 à 14:02:17
Reply

Marsh Posté le 04-01-2007 à 11:54:42    

up

Reply

Marsh Posté le 06-01-2007 à 02:27:49    

Si-si, il ne t'a pas trouvé l'executable qui a extrait le driver  mais il a vu le driver et a réussi à le supprimer:

Citation :


Rustock.b-ADS attached to the System32-folder:
  :lzx32.sys                              69038
Total size: 69038 bytes.
Attempting to remove ADS...
system32: deleted 69038 bytes in 1 streams.  


 
As-tu réussi à supprimer le fichier msasvc.exe (qui est clairement un malware, et probablement le fameux trojan "Sinowal" ) et le service associé (comme te l'a suggéré acrobaze précédemment) ?
Sinon je ne vois rien d'autres de compromettant dans les logs ci-dessus. Constates-tu toujours des choses anormales ? Si oui lesquelles ?


Message édité par elooo le 06-01-2007 à 02:31:07

---------------
*** The Astro Codex - An Encyclopedia of Astrology ***
Reply

Marsh Posté le 06-01-2007 à 11:11:46    


j'ai refait la procédure pour MsaSvc, et plus aucune trace de celui-ci.
 
j'ai refait un combofix :
NOAR - 07-01-06 11:13:41,26    Service Pack 2
ComboFix 06.11.27 - Running from: "D:\TELECHARGEMENTS\Hijackthis"
 
(((((((((((((((((((((((((((((((   Files Created from 2006-12-06 to 2007-01-06  ))))))))))))))))))))))))))))))))))
 
 
2006-12-31 14:07 <REP> dr-h----- C:\Documents and Settings\NOAR\Recent
2006-12-28 15:51 <REP> d-------- C:\avenger
2006-12-28 15:41 <REP> d-------- C:\Program Files\CCleaner
2006-12-28 14:46 <REP> d-------- C:\VundoFix Backups
2006-12-24 20:07 80 --a------ C:\WINDOWS\gmer_uninstall.cmd
2006-12-20 19:39 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-12-20 19:37 98,304 --a------ C:\WINDOWS\system32\PSCLU113.dll
2006-12-20 19:37 53,248 --a------ C:\WINDOWS\system32\pscND113.exe
2006-12-20 19:37 49,152 --a------ C:\WINDOWS\system32\pscVSWIA.dll
2006-12-20 19:37 356,352 --a------ C:\WINDOWS\system32\pscUD113.dll
2006-12-20 19:35 <REP> d-------- C:\Program Files\Canon
2006-12-20 19:34 <REP> d-------- C:\Documents and Settings\NOAR\WINDOWS
2006-12-16 20:08 <REP> d--hs---- C:\Config.Msi
2006-12-16 19:43 <REP> d-------- C:\WINDOWS\Minidump
2006-12-16 19:25 <REP> d-------- C:\WINDOWS\pss
2006-12-13 10:15 <REP> d-------- C:\Documents and Settings\NOAR\Application Data\ATI
2006-12-13 10:00 <REP> dr--s---- C:\WINDOWS\assembly
2006-12-13 09:59 <REP> d-------- C:\WINDOWS\Microsoft.NET
2006-12-13 09:56 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-12-13 09:56 <REP> d-------- C:\Program Files\ATI Technologies
2006-12-08 20:37 <REP> d-------- C:\WINDOWS\WBEM
2006-12-08 20:37 <REP> d-------- C:\WINDOWS\system32\fr-fr
2006-12-08 20:36 <REP> d--h-c--- C:\WINDOWS\ie7
2006-12-08 20:34 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-12-08 20:33 <REP> d-------- C:\WINDOWS\network diagnostic
2006-12-08 20:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
 
 
((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
2006-12-28 23:17 -------- d-------- C:\Program Files\P2PHazard
2006-12-22 08:03 -------- d-------- C:\Program Files\eMule Oxygen
2006-12-20 13:28 -------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2006-12-16 20:30 73728 --a------ C:\WINDOWS\system32\sockspy.dll
2006-12-13 09:59 -------- d-------- C:\Program Files\Internet Explorer
2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-30 11:22 -------- d-------- C:\Program Files\QuickPar
2006-11-18 12:21 -------- d-------- C:\Program Files\Save Flash
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-26 14:08 40960 --a------ C:\WINDOWS\system32\frapsvid.dll
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-13 13:36 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:36 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32\nwprovau.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"STYLEXP"="C:\\Program Files\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DrvLsnr"="C:\\Program Files\\Analog Devices\\SoundMAX\\DrvLsnr.exe"
"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"
"BDNewsAgent"="C:\\Program Files\\Softwin\\BitDefender Professional Edition\\bdnagent.exe"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"BDSwitchAgent"="C:\\Program Files\\Softwin\\BitDefender Professional Edition\\bdswitch.exe"
"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\""
"DU Meter"="C:\\Program Files\\DU Meter\\DUMeter.exe"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
  65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
 
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
 
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fb,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
  00,00,01,00,00,00
 
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
 
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]  
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
 
 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
 
Completion time: 07-01-06 11:14:16.84  
C:\ComboFix.txt ... 07-01-06 11:14
C:\ComboFix2.txt ... 07-01-05 11:07
C:\ComboFix3.txt ... 06-12-28 19:05

Reply

Marsh Posté le 06-01-2007 à 11:33:42    


mais quand je refait un scan avec la maj XP il me retrouve la meme infection sinowal.gen
 
il doit peut etre rester quelque chose ?

Reply

Marsh Posté le 06-01-2007 à 16:19:11    


le lien vers  les infos sur le site microsoft :
http://www.microsoft.com/security/ [...] inowal.gen
 
Cette menace est classifiée comme Trojan - mot de passe Stealer. Typiquement, un mot de passe volant Trojan installe un enregistreur de frappe (généralement désigné sous le nom d'un keylogger) qui enregistre des frappes et envoie les informations enregistrées aux attaquants à distance. Quelques keyloggers surveillent seulement des frappes impliquées dans les types spécifiques de transactions Web-basées. Par exemple, un keylogger peut inclure un composant qui surveille l'activité de navigateur, seulement des frappes de enregistrement quand certains emplacements de banque ou d'ecommerce sont accédés. D'autres types de trojans de mot de passe-vol incluent ceux qui capturent des screenshots afin d'essayer de dévier des mesures de sécurité graphique-basées. Cette menace est détectée par le moteur d'antivirus de Microsoft. Les détails techniques ne sont pas actuellement disponibles.

Reply

Marsh Posté le 06-01-2007 à 16:32:49    


apparement c'est cette dll qui pose problème :
 
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll
(du rapport de la maj XP)
 
Puis-je supprimer cette dll ou dois-je la faire désinfecter ?
bizarrement, bitdefender ou NAV ne trouvent rien en scannant cette dll

Reply

Marsh Posté le 07-01-2007 à 07:14:26    


bon, finallement dll supprimée, elle m'est réapparue sous C:\System Volume Information\_restore[...] bref resupprimée.
 
dernier scan avec la maj xp et ... il ne me trouve plus rien :)
visiblement le plus gros etait le MsaSvc et :lzx32.sys , donc merci à vous elooo et acrobaze

Reply

Marsh Posté le 14-01-2007 à 05:37:20    

slt tlm
 
esque quelqu'un pourrais analysé mon rapport hijack car je suspect le virus sinowal ou un autre virus d'etre a l'origine du ralentissement de mon pc et il le reboote en plus kaspersky n'arrete pas de me dire qu'un keylogger est present et pour les spy j'utilise avg
 
si quelqu'un pouvais m'aider ca serais gentil et si je devient riche je lui offrirais peut etre une voiture ;)
 
ps: je l'ai realisé en mode sans echec
 
Logfile of HijackThis v1.99.1
Scan saved at 05:24:42, on 13/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\schpouns\LOCALS~1\Temp\Rar$EX00.141\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://speedtouch.lan/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [fwewwqwe3] C:\WINDOWS\TEMP\9ED541B5.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 7842426312
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

Reply

Marsh Posté le 14-01-2007 à 22:15:57    


c'est en faisant la màj XP KB890830 que j'ai pu trouver quelque chose. Essaye de faire un scan avec cette màaj (mode minucieuse), pour si tu as un sinowal.
 

Reply

Marsh Posté le 14-01-2007 à 23:17:37    

slt,
 
avant tout je te remerci de m'avoir repondu ca fais deja pas mal plaisir sinon pour la mise a jour xp je pense avoir installé toute les mise a jour disponible jusqu'a ce jour mais il rame tjs autant et kaspersky me dit tjs qu'un keylogger est present sur mon pc. mon rapport hijack ne detecte
 aucune erreur?

Reply

Marsh Posté le 14-01-2007 à 23:18:54    

C:\WINDOWS\system32\msasvc.exe (file missing)?? dois je le supprimé? les rajouté vu qu'il manque a l'appel? :cry:


Message édité par pc_boum_boum le 15-01-2007 à 05:55:59
Reply

Marsh Posté le 15-01-2007 à 08:18:36    


désolé, je ne sais pas voir ce qu'il y a voir à travers les lignes de hijack.
moi c'est acrobaze qui m'a vu qquechose.
 
sinon, pour msasvc.exe, suit la procedure que j'ai suivi plus haut, le but etant de l'eradiquer.

Reply

Marsh Posté le 15-01-2007 à 08:20:31    

acrobaze a écrit :

Ok. Alors d'abord :
 
Clique "Démarre" -> "Exécuter" et tape :
services.msc
-> ok
Double clique : Microsoft authenticate service (MsaSvc)  
Vérifie que le chemin d'accès est bien : C:\WINDOWS\system32\msasvc.exe  
puis règle-le sur "Arrêté" et démarrage "Désactivé".
Ferme le gestionnaire des services.
 
Lance HijackThis -> config -> misc tools -> open process manager
Si : C:\WINDOWS\system32\msasvc.exe est présent, sélectionne-le et clique "Kill process".
 
Toujours dans HijackThis -> config -> misc tools -> delete an NT service
Dans la boîte de dialogue, tape : MsaSvc
->Ok et suis les indications.
 
Toujours dans HijackThis -> config -> misc tools -> delete a file on reboot
Sélectionne : C:\WINDOWS\system32\msasvc.exe  
(I faudra peut-être que tu aies accès aux fichiers cachés)
Laisse l'ordi redémarrer.
 
Ensuite, tu téléchargeras combofix.
Tu le double-cliques, tu réponds "Y" +Entrée et il va scanner ton ordi.
Ne touche à rien pendant le scan (ni souris ni clavier).
A la fin il affichera un rapport que je te demande de copier/coller ici.


 
ça.

Reply

Marsh Posté le 15-01-2007 à 20:16:52    

slt,
 
j'ai reussi a desactivé msasvc.exe mais mon pc rame toujours et le keylogger est tjs present.
 
je vais tenter de trouvé le reste
en tout cas un enorme merci a toi
@+

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed