Suspicion virus
Le
Benoit
Bonjour à tous,
Suite à une manoeuvre pas très catholique de ma part sur internet, et à
des tentatives de connexion vers l'exterieur signalé par mon kerio,
j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique.
Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas de
ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan
dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex
win16.tmp, win17.tmp, ) par vague de 4 fichiers toutes les 2
minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Merci beaucoup pour votre aide.
Benoit
Logfile of HijackThis v1.99.1
Scan saved at 17:02:10, on 14/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWSegedit.exe
C:\Program Files\MesNews\mesnews2.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Benoit\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://format.packardbell.com/cgi-b...&range&phase=6&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
file://C:\APPS\IE\offline\fr.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program
files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program
Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program
Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
/STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Creative Detector] C:\Program
Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Raccourci vers taskmgr.lnk =
C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible
dans le cache Google - res://c:\program
files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine
Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/...scan53.cab
O20 - Winlogon Notify: winnuj32 - C:\WINDOWS\SYSTEM32\winnuj32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology
Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Program Files\Fichiers
communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - -
C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Fichiers communs\Symantec
Shared\SNDSrvc.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS)
- H+H Software GmbH - C:\Program Files\Virtual CD v4
SDK\system\vcssecs.exe
Suite à une manoeuvre pas très catholique de ma part sur internet, et à
des tentatives de connexion vers l'exterieur signalé par mon kerio,
j'ai bien peur d'avoir choper une ou plusieurs betes pas sympathique.
Mon système : Windows XP SP2 (à jour du mois dernier, sans doute pas de
ce mois ci) + kerio 4 + AVG. Je n'utilise pas ie ni outlook.
Un passage de AVG en mode sans echec m'a supprimé le trojan
dropper.agent.avb qui était présent en 3 exemplaires.
Les symptomes après ça : creation dans windows/temp de fichiers
win*.tmp de 0 octet (* : deux chiffres, ou une lettre un chiffre par ex
win16.tmp, win17.tmp, ) par vague de 4 fichiers toutes les 2
minutes.
A la fin du message, à tout hasard, un log hijackthis.
Ca vous dit quelque chose tout ça ?
Merci beaucoup pour votre aide.
Benoit
Logfile of HijackThis v1.99.1
Scan saved at 17:02:10, on 14/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STDSB.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWSegedit.exe
C:\Program Files\MesNews\mesnews2.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Benoit\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://format.packardbell.com/cgi-b...&range&phase=6&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
file://C:\APPS\IE\offline\fr.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program
files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program
Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program
Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
/STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers
communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Creative Detector] C:\Program
Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Raccourci vers taskmgr.lnk =
C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program
files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program
files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program
files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible
dans le cache Google - res://c:\program
files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine
Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/...scan53.cab
O20 - Winlogon Notify: winnuj32 - C:\WINDOWS\SYSTEM32\winnuj32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology
Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Program Files\Fichiers
communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - -
C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Fichiers communs\Symantec
Shared\SNDSrvc.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS)
- H+H Software GmbH - C:\Program Files\Virtual CD v4
SDK\system\vcssecs.exe
Poser une question
Un petit complément : un fichier win*.tmp.exe est créé régulièrement,
AVG me le signale comme trojan horse dropper.agent.avb
Merci à tous
Benoit
'soir,
Qques Bho a virer et des traces de Symantec :
www.hijackthis.de
réponse de robot, ne pas suivre
aveuglément.
--
Juste fais-le
messages suivant:
Tu récupére FILEMON et Process Explorer chez Sysinternals
tu lance FileMon et tu le configure pour qu'il se concentre sur
"win*.tmp.exe" et dés qu'il t'indique un process qui tente d'écrire ça, tu
regarde avec ProcessExplorer d'un peu plus prés ce process ...
1 - tu le fige
2 - tu regarde en détails l'emplacement du fichier, l'arborescence des
process ...
et soit t'arrive à t'en débarasser facilement ..soit tu nous donne ici la
suite et on vera ce qu'on peut tenter
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Ok merci. Je fais tout ça et je vous tiens au courant.
Benoit
Rebonjour,
Voila ce que me donne filemon :
13:30:42 winlogon.exe:772 OPEN C:WINDOWSTEMPwin68.tmp.exe NOT FOUND Options: Open Access: All
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe SUCCESS Options: Open Access: All
13:30:43 winlogon.exe:772 CLOSE C:WINDOWSTempwin19D.tmp.exe SUCCESS
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:30:43 winlogon.exe:772 OPEN C:WINDOWSTEMPwin19D.tmp.exe ACCESS DENIED NT_AUTHORITYSYSTEM
13:30:43 winlogon.exe:772 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS FileNameInformation
13:31:43 avgcc.exe:364 QUERY INFORMATION C:WINDOWSTempwin19D.tmp.exe SUCCESS Attributes: A
Puis toute une série de ligne où AVG soigne le fichier win19D.tmp.exe
Quand je vais voir winlogon.exe dans Process explorer, je trouve :
Process PID CPU Description Company Name
smss.exe 680 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 744 Client Server Runtime Process Microsoft Corporation
winlogon.exe 772 Application d'ouverture de session Windows NT Microsoft Corporation
services.exe 816 0.99 Applications Services et Contrôleur Microsoft Corporation
svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1072 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1168 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1212 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1392 Spooler SubSystem App Microsoft Corporation
avgamsvr.exe 476 AVG Alert Manager GRISOFT, s.r.o.
avgupsvc.exe 576 AVG Update Service GRISOFT, s.r.o.
CTSVCCDA.EXE 624 Creative Service for CDROM Access Creative Technology Ltd
kpf4ss.exe 644 Kerio Personal Firewall 4 - Service Kerio Technologies
kpf4gui.exe 1136 Kerio Personal Firewall 4 - GUI Kerio Technologies
kpf4gui.exe 484 0.99 Kerio Personal Firewall 4 - GUI Kerio Technologies
slserv.exe 720 User-Level Modem Service
svchost.exe 740 Generic Host Process for Win32 Services Microsoft Corporation
vcssecs.exe 884 Virtual CD v4.3 SDK - Security Service H+H Software GmbH
svchost.exe 1620 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 836 LSA Shell (Export Version) Microsoft Corporation
Lorsque je scanne winlogon, je ne trouve rien. J'ai suspendu le process,
qu'est ce que je fais après ?
Merci beaucoup
Benoit