[XP] [Résolu] Trojan ! impossible à m'en débarrasser.

[_Iam-Nap_]

Bonjour les INpactiens !!

Ca faisait un bail dites donc =D

Bon, voilà j'ai un PC sous la main et il est manifestement infecté par un cheval de troie ou un virus, j'arrive pas à le localiser, Malwarebytes et Antivir ne m'aident pas...

Le problème : A chaque fois que l'on fait une recherche par Google, prenons pcinpact.com par exemple, ben les liens de Google me redirigent vers des sites louches ( ex : Gomeo, proxy, ou d'autres de pubs, ou souvent me renvoient sur la boutique Orange Mobile... )

Firefox est ok, il n'a aucun proxy configuré à mon insu.

Alors ce truc est forcément logé dans les fichiers système de Windows chargé en mémoire comme winlogon, settings.ini etc... Ca va être coton pour les corriger ou réécrire dessus.

Je sais pas quoi faire, je suis à votre écoute, j'aimerais bien éviter le formatage =X

Edit : Je vais préparer un rapport HijackThis.

[darkjack]

Salut,

Bizarre, on dirait que tu es dirigé vers un "faux" google...

As tu vérifier le fichier host dans le répertoire c:\windows\system32\drivers\etc histoire de voir si tu n'as pas une entrée qui t'a été rajoutée par un malware; du style google.fr suivie d'une ip (qui ne serait pas elle d'un serveur google, mais d'une imitation).

Sinon, pour les désinfection quelques conseils :

- si tu le fais à partir du pc vérolé, désactive la restauration du système, scan en ligne nod 32 (prend le composant à cette adresse : http://download.eset.com/special/eos/esetsmartinstaller_fra.exe )

- extraction du hdd et analyse à partir d'un autre poste

@+

[_Iam-Nap_]

Bon déjà ça commence bien, Scan HijackThis impossible....

http://uppix.net/1/c/2/64019bc05e3fa536dc5cdf1f4f658.html

C'est bien ce que je pensais ce truc s'est mis dans les fichiers settings.ini au boot de windows

@Darkjack, non je ne suis pas redirigé sur un faux google, mais dès que je clique sur ses liens lors d'une recherche, je suis dirigé sur le site puis l'adresse change instantanément/rapidement avant ou après l'ouverture du site pour m'emmener vers Gomeo et autres.

EDIT : Malgrès les 2 erreurs HijackThis le scan s'est lancé, mais du coup je doute s'il est fiable...

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:46:12, on 09/12/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Precision EVGA\EVGA Precision\EVGAPrecision.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Logitech\SetPoint II\SetpointII.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

C:\WINDOWS\system32\mspaint.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [EVGAPrecision] "C:\Precision EVGA\EVGA Precision\EVGAPrecision.exe" /s

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SetPointII.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.67.0.cab

O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217343166677

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files\Fichiers communs\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--

End of file - 6915 bytes

[Carpe_Diem]

En solution simple :

- vérifier les modules complémentaires dans IE

- le scan anti-machins doit se faire an mode sans échec en plus de la désavctivation des restaurations système (parfaois les logiciels anti-machins n'acceptent pas de tourner en sans échec, Spybot oui, pour info).

Je n'ai rien vu dans le rapport (sauf le truc punkbuster de Battlefield qui semble poser des pb à divers internautes, mais ce n'est pas lié je pense).

[_Iam-Nap_]

En solution simple :

- vérifier les modules complémentaires dans IE

- le scan anti-machins doit se faire an mode sans échec en plus de la désavctivation des restaurations système (parfaois les logiciels anti-machins n'acceptent pas de tourner en sans échec, Spybot oui, pour info).

Je n'ai rien vu dans le rapport (sauf le truc punkbuster de Battlefield qui semble poser des pb à divers internautes, mais ce n'est pas lié je pense).

Je les avait fait en mode normal et sans échec les scan MalwareBytes et Avira Antivir, restauration système également désactivées.

IE aucun module complémentaire de louche, idem pour Firefox.

Pareil pour le rapport j'ai rien vu de louche... PunkBuster n'a rien à voir en effet et marche impec.

Par contre dans C:\WINDOWS\system32\drivers\etc j'ai 6 fichiers host mais je sais pas quoi en faire suis qu'un noob en sécurité =x :

- Hosts (Sans extension aucune)

- hosts.20080820-215224.backup

- hosts.20080820-215353.backup

- hosts.20080929-175201.backup

- hosts.msn

- lmhosts.sam

Si j'ouvre le backup du 20/08/2008 avec le blocnote j'ai ça dedans, pourquoi Spybot (qui était installé avant) aurait rajoutés ces entrées ?

# Copyright © 1993-1999 Microsoft Corp.

#

# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

# pour Windows.

#

# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.

# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée

# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse

# IP et le nom d'hôte doivent être séparés par au moins un espace.

#

# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le

# symbole '#'.

#

# Par exemple :

#

# 102.54.94.97 rhino.acme.com # serveur source

# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost

# Start of entries inserted by Spybot - Search & Destroy

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.1001-search.info

127.0.0.1 1001-search.info

127.0.0.1 www.100888290cs.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100sexlinks.com

127.0.0.1 100sexlinks.com

127.0.0.1 www.10sek.com

127.0.0.1 10sek.com

127.0.0.1 www.123topsearch.com

127.0.0.1 123topsearch.com

127.0.0.1 www.132.com

127.0.0.1 132.com

127.0.0.1 www.136136.net

127.0.0.1 136136.net

127.0.0.1 www.139mm.com

127.0.0.1 139mm.com

127.0.0.1 www.163ns.com

127.0.0.1 163ns.com

127.0.0.1 171203.com

127.0.0.1 17-plus.com

127.0.0.1 www.1800searchonline.com

127.0.0.1 1800searchonline.com

127.0.0.1 www.180searchassistant.com

127.0.0.1 180searchassistant.com

127.0.0.1 www.180solutions.com

127.0.0.1 180solutions.com

127.0.0.1 www.181.365soft.info

127.0.0.1 181.365soft.info

127.0.0.1 www.1987324.com

127.0.0.1 1987324.com

127.0.0.1 www.1-domains-registrations.com

127.0.0.1 1-domains-registrations.com

127.0.0.1 www.1-extreme.biz

127.0.0.1 1-extreme.biz

127.0.0.1 www.1sexparty.com

127.0.0.1 1sexparty.com

127.0.0.1 www.1stantivirus.com

127.0.0.1 1stantivirus.com

127.0.0.1 www.1stpagehere.com

127.0.0.1 1stpagehere.com

127.0.0.1 www.1stsearchportal.com

127.0.0.1 1stsearchportal.com

127.0.0.1 2.82211.net

127.0.0.1 www.2006ooo.com

[.......] Je m'arrete là la liste est longue

Sinon des idées ? Je suis en train de faire tourner NOD32 Online mais le téléchargement des fichiers est long Vous tiens au courant ! Merci de l'aide !

[_Iam-Nap_]

'Tain je spam mon topic =D

J'ai trouvé ça : http://forum.malekal.com/explorer-exe-wininit-exe-win32-patched-agent-t30187.html

Ce serait apparemment le Trojan Bamital

EDIT : Bon après 1H30 de scan, ESET Nod32 ne m'a rien trouvé.

Help !

[darkjack]

Salut,

La longue liste dans le fichier host est le résultat de la fonction "vaccination" de spybot : il redirige sur l'adresse loopback des noms de domaines ou site blacklistés.

Regarde ce lien symantec, il faudrait apparemment faire sauter des valeurs dans la base de registre en plus des scans et de la désactivation.SAUVEGARDE TA BASE AVANT TOUTE MANIP!

http://www.symantec.com/security_response/writeup.jsp?docid=2010-070108-5941-99&tabid=3

Bonne journée

[Carpe_Diem]

En effet, les sites blacklistés par Spybot sont tous redirigés vers 127.0.0.1. C'est normal.

Perso, je ne vois pas de solution "simple" à ton problème.

Sauf autres avis, je ne vois que :

- sauvegarder le dossier Favoris d'IE

- télécharger IE sur le site Microsoft,

- désinstaller IE

- passer un coup de CCleaner sur les fichiers et le registre

- désactiver les points de restauration

- rebooter

- passer en mode sans échec

- lancer les outils de nettoyage de malware et, re, un nouveau coup de CCleaner sur les fichiers (pas sur le registre)

- lancer une analyse anti-virus, toutes options et tous disques

- rebooter

- réinstaller IE

- remettre les adresses des favoris une à une au pir, au plus facile ce sera remplacer le dossier.

Mais même avec tout cela, je ne suis pas certain du résultat.

[digital-jedi]

- Ou virer IE et utiliser un navigateur plus secure et moins codé avec les pieds, style Google Chrome ou Opera

Et si tu testes avec AVG comme dans le lien que tu donnes ? Pour voir si tu as les mêmes menaces détectées. Et essayer la solution préconisée.

[Amour]

Au pire des cas, essayez de démonter le disque dur pour le faire scanner par une autre machine, mais sans garantie...

[Carpe_Diem]

Bonne idée Amouur, mais en y ajoutant :

- se connecter avec un compte admin et activer toutes les options de l'anti-virus, activer le scan "tous disques" et créer au besoin un compte Invité (avec mot de passe)

- arrêter proprement l'ordi

- brancher le HDD malade sur le nouveau PC client

- redémarrer sur le compte Invité

- l'anti-virus devrait détecter un nouveau périphérique et demander ou lancer direct une analyse

- supprimer ou non le compte Invité (après avoir débrancher le HDD malade surtout s'il l'est encore après tout cela).

Simple histoire de prendre le moins de risques possibles pour le PC receveur et de lancer une analyse profonde.

Nb : si possible trouver un PC receveur avec G-Data ou Kaspersky qui ont une renommée certaine sur le Net.

[_Iam-Nap_]

Bonjour à vous tous, je passe donner des nouvelles... La semaine chargé j'ai pas trop eu le temps de passer par là.

Bon alors, il s'est avéré que ce n'était pas le virus Bamital.

Malgré différents tests/Scans avec différents outils ben rien nada, même à partir d'un autre pc en ayant démonté le disque n'a rien donné... (je n'avais pas G-Data/Kaspersky malheuresement) Certains outils comme combofix tournaient indéfiniment et restaient bloqués...

Puis des bizarreries sont apparues, comme le svchost.exe au boot windows qui me prenait 50% du processeur (E8500) avec une activité internet que j'ai immédiatement bloqué par le pare-feu, le simple fait de kill le processus redonnait toute la stabilité, ou encore le thème XP qui sautait parfois au démarrage et me mettait le plus basique possible style 98...

Bref j'étais désespéré et résolu à formater jusqu'à avant hier... Où le Bulletin de sécurité de Microsoft du mois tombe. Lors du reboot du PC après les MAJ l'Outil de suppression des logiciels malveillants de Décembre s'est déclenché, me signalant des menaces trouvées en secteur d'amorce windows (à ma grande surprise "Ah tiens ca marche ce truc" de mon expérience personnelle il ne s'était jamais déclenché tout les mois précédents) du coup je le laisse scanner la machine et au bout de 4H de scan me trouve une variante de Virus/Rootkit Alureon - Symptômes : Redirections Google, logiciels de sécurité bloqués voire faussés, l'outil me le supprime et me corrige le tout... Je reboot, je test google, impeccable plus aucunes redirections, la machine et hyper réactive et je retrouve la sensation d'avoir du 20Méga en me baladant sur le net =D

Merci Microsoft

Merci à vous pour vos explications et l'aide les INpactiens

A très bientôt ( oui j'vais avoir besoin de vous pour un tout autre problème hardware/Soft sur une autre machine )

[Carpe_Diem]

Merci d'avoir posté la solution.

Bonne continuation.