_Iam-Nap_ Posted December 9, 2010 Share Posted December 9, 2010 Bonjour les INpactiens !! Ca faisait un bail dites donc =D Bon, voilà j'ai un PC sous la main et il est manifestement infecté par un cheval de troie ou un virus, j'arrive pas à le localiser, Malwarebytes et Antivir ne m'aident pas... Le problème : A chaque fois que l'on fait une recherche par Google, prenons pcinpact.com par exemple, ben les liens de Google me redirigent vers des sites louches ( ex : Gomeo, proxy, ou d'autres de pubs, ou souvent me renvoient sur la boutique Orange Mobile... ) Firefox est ok, il n'a aucun proxy configuré à mon insu. Alors ce truc est forcément logé dans les fichiers système de Windows chargé en mémoire comme winlogon, settings.ini etc... Ca va être coton pour les corriger ou réécrire dessus. Je sais pas quoi faire, je suis à votre écoute, j'aimerais bien éviter le formatage =X Edit : Je vais préparer un rapport HijackThis. Link to comment Share on other sites More sharing options...
darkjack Posted December 9, 2010 Share Posted December 9, 2010 Salut, Bizarre, on dirait que tu es dirigé vers un "faux" google... As tu vérifier le fichier host dans le répertoire c:\windows\system32\drivers\etc histoire de voir si tu n'as pas une entrée qui t'a été rajoutée par un malware; du style google.fr suivie d'une ip (qui ne serait pas elle d'un serveur google, mais d'une imitation). Sinon, pour les désinfection quelques conseils : - si tu le fais à partir du pc vérolé, désactive la restauration du système, scan en ligne nod 32 (prend le composant à cette adresse : http://download.eset.com/special/eos/esetsmartinstaller_fra.exe ) - extraction du hdd et analyse à partir d'un autre poste @+ Link to comment Share on other sites More sharing options...
_Iam-Nap_ Posted December 9, 2010 Author Share Posted December 9, 2010 Bon déjà ça commence bien, Scan HijackThis impossible.... http://uppix.net/1/c/2/64019bc05e3fa536dc5cdf1f4f658.html C'est bien ce que je pensais ce truc s'est mis dans les fichiers settings.ini au boot de windows @Darkjack, non je ne suis pas redirigé sur un faux google, mais dès que je clique sur ses liens lors d'une recherche, je suis dirigé sur le site puis l'adresse change instantanément/rapidement avant ou après l'ouverture du site pour m'emmener vers Gomeo et autres. EDIT : Malgrès les 2 erreurs HijackThis le scan s'est lancé, mais du coup je doute s'il est fiable... Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:46:12, on 09/12/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Precision EVGA\EVGA Precision\EVGAPrecision.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Logitech\SetPoint II\SetpointII.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe C:\WINDOWS\system32\mspaint.exe C:\Program Files\Mozilla Firefox\plugin-container.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [EVGAPrecision] "C:\Precision EVGA\EVGA Precision\EVGAPrecision.exe" /s O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: SetPointII.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.67.0.cab O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217343166677 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Futuremark SystemInfo Service - Futuremark Corporation - C:\Program Files\Fichiers communs\Futuremark Shared\Futuremark SystemInfo\FMSISvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe -- End of file - 6915 bytes Link to comment Share on other sites More sharing options...
Carpe_Diem Posted December 9, 2010 Share Posted December 9, 2010 En solution simple : - vérifier les modules complémentaires dans IE - le scan anti-machins doit se faire an mode sans échec en plus de la désavctivation des restaurations système (parfaois les logiciels anti-machins n'acceptent pas de tourner en sans échec, Spybot oui, pour info). Je n'ai rien vu dans le rapport (sauf le truc punkbuster de Battlefield qui semble poser des pb à divers internautes, mais ce n'est pas lié je pense). Link to comment Share on other sites More sharing options...
_Iam-Nap_ Posted December 9, 2010 Author Share Posted December 9, 2010 En solution simple : - vérifier les modules complémentaires dans IE - le scan anti-machins doit se faire an mode sans échec en plus de la désavctivation des restaurations système (parfaois les logiciels anti-machins n'acceptent pas de tourner en sans échec, Spybot oui, pour info). Je n'ai rien vu dans le rapport (sauf le truc punkbuster de Battlefield qui semble poser des pb à divers internautes, mais ce n'est pas lié je pense). Je les avait fait en mode normal et sans échec les scan MalwareBytes et Avira Antivir, restauration système également désactivées. IE aucun module complémentaire de louche, idem pour Firefox. Pareil pour le rapport j'ai rien vu de louche... PunkBuster n'a rien à voir en effet et marche impec. Par contre dans C:\WINDOWS\system32\drivers\etc j'ai 6 fichiers host mais je sais pas quoi en faire suis qu'un noob en sécurité =x : - Hosts (Sans extension aucune) - hosts.20080820-215224.backup - hosts.20080820-215353.backup - hosts.20080929-175201.backup - hosts.msn - lmhosts.sam Si j'ouvre le backup du 20/08/2008 avec le blocnote j'ai ça dedans, pourquoi Spybot (qui était installé avant) aurait rajoutés ces entrées ? # Copyright © 1993-1999 Microsoft Corp. # # Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP # pour Windows. # # Ce fichier contient les correspondances des adresses IP aux noms d'hôtes. # Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée # dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse # IP et le nom d'hôte doivent être séparés par au moins un espace. # # De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des # lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le # symbole '#'. # # Par exemple : # # 102.54.94.97 rhino.acme.com # serveur source # 38.25.63.10 x.acme.com # hôte client x 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.1001-search.info 127.0.0.1 1001-search.info 127.0.0.1 www.100888290cs.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com 127.0.0.1 www.10sek.com 127.0.0.1 10sek.com 127.0.0.1 www.123topsearch.com 127.0.0.1 123topsearch.com 127.0.0.1 www.132.com 127.0.0.1 132.com 127.0.0.1 www.136136.net 127.0.0.1 136136.net 127.0.0.1 www.139mm.com 127.0.0.1 139mm.com 127.0.0.1 www.163ns.com 127.0.0.1 163ns.com 127.0.0.1 171203.com 127.0.0.1 17-plus.com 127.0.0.1 www.1800searchonline.com 127.0.0.1 1800searchonline.com 127.0.0.1 www.180searchassistant.com 127.0.0.1 180searchassistant.com 127.0.0.1 www.180solutions.com 127.0.0.1 180solutions.com 127.0.0.1 www.181.365soft.info 127.0.0.1 181.365soft.info 127.0.0.1 www.1987324.com 127.0.0.1 1987324.com 127.0.0.1 www.1-domains-registrations.com 127.0.0.1 1-domains-registrations.com 127.0.0.1 www.1-extreme.biz 127.0.0.1 1-extreme.biz 127.0.0.1 www.1sexparty.com 127.0.0.1 1sexparty.com 127.0.0.1 www.1stantivirus.com 127.0.0.1 1stantivirus.com 127.0.0.1 www.1stpagehere.com 127.0.0.1 1stpagehere.com 127.0.0.1 www.1stsearchportal.com 127.0.0.1 1stsearchportal.com 127.0.0.1 2.82211.net 127.0.0.1 www.2006ooo.com [.......] Je m'arrete là la liste est longue Sinon des idées ? Je suis en train de faire tourner NOD32 Online mais le téléchargement des fichiers est long Vous tiens au courant ! Merci de l'aide ! Link to comment Share on other sites More sharing options...
_Iam-Nap_ Posted December 9, 2010 Author Share Posted December 9, 2010 'Tain je spam mon topic =D J'ai trouvé ça : http://forum.malekal.com/explorer-exe-wininit-exe-win32-patched-agent-t30187.html Ce serait apparemment le Trojan Bamital EDIT : Bon après 1H30 de scan, ESET Nod32 ne m'a rien trouvé. Help ! Link to comment Share on other sites More sharing options...
darkjack Posted December 10, 2010 Share Posted December 10, 2010 Salut, La longue liste dans le fichier host est le résultat de la fonction "vaccination" de spybot : il redirige sur l'adresse loopback des noms de domaines ou site blacklistés. Regarde ce lien symantec, il faudrait apparemment faire sauter des valeurs dans la base de registre en plus des scans et de la désactivation.SAUVEGARDE TA BASE AVANT TOUTE MANIP! http://www.symantec.com/security_response/writeup.jsp?docid=2010-070108-5941-99&tabid=3 Bonne journée Link to comment Share on other sites More sharing options...
Carpe_Diem Posted December 10, 2010 Share Posted December 10, 2010 En effet, les sites blacklistés par Spybot sont tous redirigés vers 127.0.0.1. C'est normal. Perso, je ne vois pas de solution "simple" à ton problème. Sauf autres avis, je ne vois que : - sauvegarder le dossier Favoris d'IE - télécharger IE sur le site Microsoft, - désinstaller IE - passer un coup de CCleaner sur les fichiers et le registre - désactiver les points de restauration - rebooter - passer en mode sans échec - lancer les outils de nettoyage de malware et, re, un nouveau coup de CCleaner sur les fichiers (pas sur le registre) - lancer une analyse anti-virus, toutes options et tous disques - rebooter - réinstaller IE - remettre les adresses des favoris une à une au pir, au plus facile ce sera remplacer le dossier. Mais même avec tout cela, je ne suis pas certain du résultat. Link to comment Share on other sites More sharing options...
digital-jedi Posted December 10, 2010 Share Posted December 10, 2010 - Ou virer IE et utiliser un navigateur plus secure et moins codé avec les pieds, style Google Chrome ou Opera Et si tu testes avec AVG comme dans le lien que tu donnes ? Pour voir si tu as les mêmes menaces détectées. Et essayer la solution préconisée. Link to comment Share on other sites More sharing options...
Amour Posted December 13, 2010 Share Posted December 13, 2010 Au pire des cas, essayez de démonter le disque dur pour le faire scanner par une autre machine, mais sans garantie... Link to comment Share on other sites More sharing options...
Carpe_Diem Posted December 13, 2010 Share Posted December 13, 2010 Bonne idée Amouur, mais en y ajoutant : - se connecter avec un compte admin et activer toutes les options de l'anti-virus, activer le scan "tous disques" et créer au besoin un compte Invité (avec mot de passe) - arrêter proprement l'ordi - brancher le HDD malade sur le nouveau PC client - redémarrer sur le compte Invité - l'anti-virus devrait détecter un nouveau périphérique et demander ou lancer direct une analyse - supprimer ou non le compte Invité (après avoir débrancher le HDD malade surtout s'il l'est encore après tout cela). Simple histoire de prendre le moins de risques possibles pour le PC receveur et de lancer une analyse profonde. Nb : si possible trouver un PC receveur avec G-Data ou Kaspersky qui ont une renommée certaine sur le Net. Link to comment Share on other sites More sharing options...
_Iam-Nap_ Posted December 17, 2010 Author Share Posted December 17, 2010 Bonjour à vous tous, je passe donner des nouvelles... La semaine chargé j'ai pas trop eu le temps de passer par là. Bon alors, il s'est avéré que ce n'était pas le virus Bamital. Malgré différents tests/Scans avec différents outils ben rien nada, même à partir d'un autre pc en ayant démonté le disque n'a rien donné... (je n'avais pas G-Data/Kaspersky malheuresement) Certains outils comme combofix tournaient indéfiniment et restaient bloqués... Puis des bizarreries sont apparues, comme le svchost.exe au boot windows qui me prenait 50% du processeur (E8500) avec une activité internet que j'ai immédiatement bloqué par le pare-feu, le simple fait de kill le processus redonnait toute la stabilité, ou encore le thème XP qui sautait parfois au démarrage et me mettait le plus basique possible style 98... Bref j'étais désespéré et résolu à formater jusqu'à avant hier... Où le Bulletin de sécurité de Microsoft du mois tombe. Lors du reboot du PC après les MAJ l'Outil de suppression des logiciels malveillants de Décembre s'est déclenché, me signalant des menaces trouvées en secteur d'amorce windows (à ma grande surprise "Ah tiens ca marche ce truc" de mon expérience personnelle il ne s'était jamais déclenché tout les mois précédents) du coup je le laisse scanner la machine et au bout de 4H de scan me trouve une variante de Virus/Rootkit Alureon - Symptômes : Redirections Google, logiciels de sécurité bloqués voire faussés, l'outil me le supprime et me corrige le tout... Je reboot, je test google, impeccable plus aucunes redirections, la machine et hyper réactive et je retrouve la sensation d'avoir du 20Méga en me baladant sur le net =D Merci Microsoft Merci à vous pour vos explications et l'aide les INpactiens A très bientôt ( oui j'vais avoir besoin de vous pour un tout autre problème hardware/Soft sur une autre machine ) Link to comment Share on other sites More sharing options...
Carpe_Diem Posted December 18, 2010 Share Posted December 18, 2010 Merci d'avoir posté la solution. Bonne continuation. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.