Virus qui retourne toutes les sécurités à son avantage

prog22 · 19/10/2011, 10h30

Bonjour,

j'ai un sale virus/trojan, très malin qui se présente sous différentes formes et dont je n'arrive même pas à identifier le nom !

Je l'ai déjà vu sur le poste de quelqu'un d'autre il y a une semaine.

Les symptômes :

- lors des lancements de process explorer, des scan de malwarebytes, avg, il trouve des "menaces" qui ne sont autres que des fichiers de config malwarebytes, avg, et à la fin, ces derniers deviennent inutilisables...

- lorsque je veux retélécharger ces outils, je vais sur google, je tape mes trucs, puis je vais sur télécharger.com (01net) site sûr, sauf que je vois en bas dans le chargement des pages une redirection "unusualsearch ..." et je suis renvoyé vers une interface ... EBAY tout en ayant la bonne url !!!

- j'ai dans mes processus : 1 0 0 0 8 8 7 2 5 4 : 6 9 9 1 6 0 5 1 6 . e x e (j'ai laissé des espaces exprès par paranoïa) que je ne parviens pas à tuer...

- j'ai dans mon dossier windows un fichier 1 0 0 0 8 8 7 2 5 4 qui se crée à chaque démarrage.

bref, j'en peux plus...

j'ai déjà essayé de redémarrer en mode sans échec (après désactivation des points de restauration), relancer mes outils de sécurité en les ayant importer d'une clé usb, mais rien n'y fait pour l'instant. je ne veux pas formater.

Connaissez vous au moins le nom de ce virus qui me semble récent (cet été), une méthode pour l'éradiquer? Un sujet qui en parle?

MERCI

prog22 · 19/10/2011, 11h15

Les logs de hijackthis en MODE SANS ECHEC (car il est désactivé par le virus en mode normal)

**************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:04:59, on 19/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Documents and Settings\user\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/m...ig_3_5_1_0.cab
O16 - DPF: {93B08541-9F6B-4697-9F9A-7058F1E33785} (NTR ActiveX 1.1.8.2) - https://eu.ntrsupport.com/inquiero/m...ivex1182_2.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://eu.ntrsupport.com/nv/inquier...ivex118_28.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pic.local
O17 - HKLM\Software\..\Telephony: DomainName = pic.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA920BDE-8D96-4837-B040-AC1AD935BDC1}: NameServer = 192.168.10.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pic.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pic.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll
O23 - Service: AVGIDSAgent - Unknown owner - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe (file missing)
O23 - Service: AVG WatchDog (avgwd) - Unknown owner - C:\Program Files\AVG\AVG10\avgwdsvc.exe (file missing)
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Unknown owner - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (file missing)
O23 - Service: ShrewSoft DNS Proxy Daemon (dtpd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\dtpd.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: ShrewSoft IKE Daemon (iked) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\iked.exe (file missing)
O23 - Service: ShrewSoft IPSEC Daemon (ipsecd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing)
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.21\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.5.16\bin\mysqld.exe (file missing)

--
End of file - 5580 bytes

prog22 · 19/10/2011, 16h52

je me réponds puisque ça inspire peu de monde, voilà l'arbre du processus : pid 1948

blue2 · 19/10/2011, 18h02

Le rapport (d'Hijackthis=obsolète) ne montre aucune trace d'infection.

Par contre presque tous les services logiciels affichés, dont AVG, ont leurs fichiers "manquant".
De plus avec la description que vous faites. En mentionnant que les .exe deviennent inutilisables un après l'autre. Ça ressemble à du Virut. Et si c'est le cas et que vous roulez avec depuis quelques jours. Vous devrez formater.

• Commencez par sauvegarder vos données personnelles.

Citation:

pages une redirection "unusualsearch

Réinitialiser le fichier Hosts.

prog22 · 19/10/2011, 18h28

déjà merci de répondre, j'allais partir désespéré.

c'est ce que je comptais faire (formatage).

Merci en tout cas pour le message, ça a l'air d'être ça. Mais je n'ai pas le nom du virut ça c'est dommage.

gretch · 25/10/2011, 00h54

j'ai rencontré qq chose d'assez proche, et je doit t'avouer qu'après pas mal de test infructueux
le temps passé à réparer > à celui de la restauration donc reformatage
dsl...
(pour info j'etais aussi sous AVG :/ )

tigzy · 26/10/2011, 13h31

Salut

Rootkit Zaccess, je te conseille de lire ceci:

http://tigzyrk.blogspot.com/2011/09/...ccess-max.html

-----

Poste les différents rapports

19/10/2011, 10h30	#1
prog22 Invité de passage Inscription : octobre 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : octobre 2011 Messages : 5 Points : 1 Points : 1	Virus qui retourne toutes les sécurités à son avantage Bonjour, j'ai un sale virus/trojan, très malin qui se présente sous différentes formes et dont je n'arrive même pas à identifier le nom ! Je l'ai déjà vu sur le poste de quelqu'un d'autre il y a une semaine. Les symptômes : - lors des lancements de process explorer, des scan de malwarebytes, avg, il trouve des "menaces" qui ne sont autres que des fichiers de config malwarebytes, avg, et à la fin, ces derniers deviennent inutilisables... - lorsque je veux retélécharger ces outils, je vais sur google, je tape mes trucs, puis je vais sur télécharger.com (01net) site sûr, sauf que je vois en bas dans le chargement des pages une redirection "unusualsearch ..." et je suis renvoyé vers une interface ... EBAY tout en ayant la bonne url !!! - j'ai dans mes processus : 1 0 0 0 8 8 7 2 5 4 : 6 9 9 1 6 0 5 1 6 . e x e (j'ai laissé des espaces exprès par paranoïa) que je ne parviens pas à tuer... - j'ai dans mon dossier windows un fichier 1 0 0 0 8 8 7 2 5 4 qui se crée à chaque démarrage. bref, j'en peux plus... j'ai déjà essayé de redémarrer en mode sans échec (après désactivation des points de restauration), relancer mes outils de sécurité en les ayant importer d'une clé usb, mais rien n'y fait pour l'instant. je ne veux pas formater. Connaissez vous au moins le nom de ce virus qui me semble récent (cet été), une méthode pour l'éradiquer? Un sujet qui en parle? MERCI
	00

25/10/2011, 00h54	#6
gretch Membre émérite Administrateur systèmes et réseaux Inscription : avril 2006 Messages : 970 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : avril 2006 Messages : 970 Points : 968 Points : 968	j'ai rencontré qq chose d'assez proche, et je doit t'avouer qu'après pas mal de test infructueux le temps passé à réparer > à celui de la restauration donc reformatage dsl... (pour info j'etais aussi sous AVG :/ ) __________________ un ptit jeu sympa
	00

26/10/2011, 13h31	#7
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Salut Rootkit Zaccess, je te conseille de lire ceci: http://tigzyrk.blogspot.com/2011/09/...ccess-max.html ----- Poste les différents rapports __________________ Développeur de RogueKiller
	00

19/10/2011, 11h15	#2
prog22 Invité de passage Inscription : octobre 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : octobre 2011 Messages : 5 Points : 1 Points : 1	Les logs de hijackthis en MODE SANS ECHEC (car il est désactivé par le virus en mode normal) ************************************************** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:04:59, on 19/10/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\TortoiseSVN\bin\TSVNCache.exe C:\Documents and Settings\user\Mes documents\Téléchargements\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/m...ig_3_5_1_0.cab O16 - DPF: {93B08541-9F6B-4697-9F9A-7058F1E33785} (NTR ActiveX 1.1.8.2) - https://eu.ntrsupport.com/inquiero/m...ivex1182_2.cab O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://eu.ntrsupport.com/nv/inquier...ivex118_28.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pic.local O17 - HKLM\Software\..\Telephony: DomainName = pic.local O17 - HKLM\System\CCS\Services\Tcpip\..\{DA920BDE-8D96-4837-B040-AC1AD935BDC1}: NameServer = 192.168.10.200 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pic.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pic.local O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll O23 - Service: AVGIDSAgent - Unknown owner - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe (file missing) O23 - Service: AVG WatchDog (avgwd) - Unknown owner - C:\Program Files\AVG\AVG10\avgwdsvc.exe (file missing) O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Unknown owner - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (file missing) O23 - Service: ShrewSoft DNS Proxy Daemon (dtpd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\dtpd.exe (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe O23 - Service: ShrewSoft IKE Daemon (iked) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\iked.exe (file missing) O23 - Service: ShrewSoft IPSEC Daemon (ipsecd) - Unknown owner - C:\Program Files\ShrewSoft\VPN Client\ipsecd.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing) O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.21\bin\httpd.exe (file missing) O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.5.16\bin\mysqld.exe (file missing) -- End of file - 5580 bytes
	00

19/10/2011, 18h28	#5
prog22 Invité de passage Inscription : octobre 2011 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : octobre 2011 Messages : 5 Points : 1 Points : 1	déjà merci de répondre, j'allais partir désespéré. c'est ce que je comptais faire (formatage). Merci en tout cas pour le message, ça a l'air d'être ça. Mais je n'ai pas le nom du virut ça c'est dommage.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email