trojan

Le
sinpa
Bonjour,
Depuis 3 ou 4 jours, qq minutes après avoir ouvert OE et IE, une multitude
de fenêtres s'ouvrent en rafale (pour les arrêter, je suis obligé de passer
par Ctrl+Alt+suppr) :
"Avertissement avast! Message suspect ! Il y a trop de mails identiques
envoyés dans un faible intervalle de temps, etc"

Voici mes rapports de scan d'hier et d'aujourd'hui:
* Débuté le dimanche 9 septembre 2007 20:23:04
C:System Volume
Information_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}RP126A0038262.sys
[L] Win32:Agent-KDC [Trj] (0)
Fichier supprimé avec succès
C:System Volume
Information_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}RP126A0038263.exe[UPX]
[L] Win32:Lmir-BK [Trj] (0)
Fichier supprimé avec succès
Fichiers infectés : 2
* Débuté le lundi 10 septembre 2007 20:00:32
C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet
FilesContent.IE5AT8LM5KZ2_05_09_07_ea_0[1].exe[UPX] [L]
Win32:Obfuscated-BTM [Trj] (0)
Fichier supprimé avec succès
C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet
FilesContent.IE5Q3CR0JUT2_08_09_07_ea_0[1].exe[UPX] [L]
Win32:Obfuscated-BTM [Trj] (0)
Fichier supprimé avec succès
C:WINDOWSsystem32svchost.exeexe.exe:$DATA[UPX] [L] Win32:Obfuscated-BTM
[Trj] (0)
Fichier supprimé avec succès
Fichiers infectés : 3

Voici le log généré par Hijackthis :
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:03:24, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program Filese-Carte BleueLA POSTECVD ADESIOECB.exe
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesQuickTimeqttask.exe
C:HPKBDKBD.EXE
C:Program FilesMSN Messengermsnmsgr.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesHPDigital Imagingbinhpqtra08.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesFichiers communsLogitechKhalSharedKHALMNPR.EXE
C:Program FilesHPDigital Imagingbinhpqimzone.exe
C:Program FilesHPDigital ImagingbinhpqSTE08.exe
C:Program FilesMicrosoft OfficeOFFICE11WINWORD.EXE
C:Program FilesAlwil SoftwareAvast4ashSimpl.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Program FilesOutlook Expressmsimn.exe
C:RepEutilitairesHJTHiJackThis_v2.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=presario&pfÞsktop
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pfÞsktop
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pfÞsktop
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkIdT896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=presario&pfÞsktop
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://go.microsoft.com/fwlink/?LinkIdT896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://go.microsoft.com/fwlink/?LinkIdi157
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=presario&pfÞsktop
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Internet
Explorer avec Club-Internet
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program
FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnyt.dll
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) -
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: e-Carte Bleue Browser Helper Object -
{2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:WINDOWSsystem32BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.5.0_08binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN
AppsST1.03.0000.1005en-xustmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:Program FilesMSN AppsMSN Toolbar1.02.5000.1021frmsntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program
FilesMSN AppsMSN Toolbar1.02.5000.1021frmsntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program
FilesYahoo!CompanionInstallscpnyt.dll
O4 - HKLM..Run: [eCarteBleue-LP-P1] "C:Program Filese-Carte BleueLA
POSTECVD ADESIOECB.exe" /dontopenmycards
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [ISUSPM Startup]
C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1isuspm.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers
communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software
UpdateHPWuSchd2.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [KBD] C:HPKBDKBD.EXE
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User
'SERVICE RÉSEAU')
O4 - Startup: Outlook Express.lnk = C:Program FilesOutlook
Expressmsimn.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk =
C:Program FilesHPDigital Imagingbinhpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program
FilesHPDigital Imagingbinhpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeAcrobat 7.0Readereader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program
FilesLogitechSetPointSetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_08binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_08binssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:PROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
%windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network
Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced
Unicode Control) -
http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
C:Program FilesYahoo!Commonyinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui -
{438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:WINDOWSsystem32browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant -
{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:WINDOWSsystem32browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique
(dmadmin) - Unknown owner - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner -
C:WINDOWSsystem32services.exe
O23 - Service: Fax - Unknown owner - C:WINDOWSsystem32fxssvc.exe
O23 - Service: ICF - Unknown owner - C:WINDOWSsystem32svchost.exe:exe.exe
(file missing)
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown
owner - C:WINDOWSsystem32imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown
owner - C:WINDOWSsystem32mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner -
C:WINDOWSsystem32services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance
(RDSessMgr) - Unknown owner - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner -
C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown
owner - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner -
C:WINDOWSSystem32vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner -
C:WINDOWSsystem32wbemwmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media
(WMPNetworkSvc) - Unknown owner - C:Program FilesWindows Media
PlayerWMPNetwk.exe
End of file - 10184 bytes


Que faut-il faire ?
Merci d'avance
Eric
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yves Lambert
Le #1679206

Que faut-il faire ?
Merci d'avance
Eric


Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?

ça peut être un nouveau machin.

Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :

1. Une première analyse automatique
2. De l'enregistrer ce qui permet de poster ici non pas le log mais
l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le
log brut même par ceux qui savent.


--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.

sinpa
Le #1679200
"Yves Lambert"

Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?

ça peut être un nouveau machin.
Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les

doigts....


Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :
Merci, je vais le faire...


Nina Popravka
Le #1679199
On Tue, 11 Sep 2007 13:50:01 +0200, Yves Lambert

Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici.


Inutile et même nuisible.
J'en ai vraiment plus que par dessus la tête, quand je fais une
recherche sur un exécutable quelconque, de devoir filtrer, sinon je
tombe sur des milliers de rapports HijackThis avec des réponses sans
intérêt dont je n'ai *strictement* rien à foutre.
--
Nina

boris ryser
Le #1679198
Yves Lambert wrote:

Que faut-il faire ?
Merci d'avance
Eric


Le message d'avertissement du FW peut indiquer la présence d'un ver
(et non un cheval de Troie). Les signature de l'antivirus sont elles
à jour ?
ça peut être un nouveau machin.

Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :

1. Une première analyse automatique
2. De l'enregistrer ce qui permet de poster ici non pas le log mais
l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le
log brut même par ceux qui savent.


Hello

A propos de l'analys e de ce lo hijackthis,
avec XP c'était assez facilement compréhensible...

Mais depuis que j'ai vista....
hijckthis révêle tant et tant de lignes..... que le log devient complètement
ésotérique ¨
Y a-t'il quelque part un tutorial de hijackthis pour vista ?

boris ryser


Yves Lambert
Le #1679196

"Yves Lambert"
Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?

ça peut être un nouveau machin.
Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les

doigts....


Heu : si le firewall est désactivé, il ne risque plus de regimber

Je vous conseille (fortement) :

1. De refaire un scan antivirus (et un scan hijackthis) *en mode sans
échec* (Touche F8 au moment du boot : choix mode sans échec. hijackthis
peut être programmé pour démarrer au boot. Faire ce choix.

2. De vérifier (pour pouvoir dire : ouf, c'est une fausse alerte... mais
j'y crois de moins en moins)
-a- si le(s) soi-disant trojans viré par l'AV ne sont pas un/des vers
(recherche sur une base de donnée de virus avec le nom que lui donne
l'antivirus, et recherche sur google itou sur le nom que donne
l'antivirus : un trojan peut avoir un payload comme un virus, ça peut
être d'envoyer des mails aux copains et aux copines mais je n'y croit
pas trop (si un trojan qui envoie des spam ou qui zombifie la machine
pour envoyer des spams : ce genrte d'activité ne peut alerter qu'un FW
(*) (ou un examen scrupuleux des connexions) le gestionnaire de tâche et
l'activité du processeur peut être indécelable : un Z80 peut faire ce
genre de chose)

-b- que le FW est bien en activité (la présence de son icône dans la
barre des tâche n'est pas un gage : ce n'est pas suffisant)

Je vois un moyen simple : lancer une application réseau qu'il ne connait
pas (un autre logiciel de courrier ou de news qu'OLE, un autre browser
qu'Iexplore etc. et vopir comment le FW réagit (en profiter pour se
familiariser avec le nouvel outil qui aura quelques chances d'être plus
sûr à l'usage que les produits canoniques d'XP)

Plus de détail sur le pourquoi du comment dans ma réponse à Nina Popravka

-> vérifier aussi (avec des outils "propres" les fichiers de démarrage
ie pas que le registre mais y compris vu qu'un rootkit, un cheval de
troie peut très bien ne pas utiliser le registre pouir se lancer au
démarrage

(*) et aussi le service abuse de votre fournisseur d'accès

--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.


Yves Lambert
Le #1679195

Mais depuis que j'ai vista....
hijckthis révêle tant et tant de lignes..... que le log devient
complètement ésotérique ¨
Y a-t'il quelque part un tutorial de hijackthis pour vista ?


Renseignez vous sur le site hijackthis.de

--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.

Publicité
Poster une réponse
Anonyme