Bonjour,
J’ai été infecté par une clé USB (je crois) le 13/05. Mon antivirus
avast 4.8 (à jour) a trouvé Win32 :RJump-B et a mis les fichiers « trz55.tmp » et « ravmone.exe » en quarantaine.
Le 21/05, nouvelle alerte d’Avast disant que trop de e-mail veulent être envoyés en même temps (alors que je ne veux rien envoyer !). L’envoyeur semble être « Natwest
Bank Electonic
Banking… » et les destinataires « J…@... .uk). Je clique sur « Bloquer ». Puis un faux message apparaît à l’écran sur fond bleu : Je sais, par des recherches, que c’est le Trojan W32 :Pakes.CSG. Je lance une désinfection et je fais « supprimer » dans Avast.
Quelques instant après,
avast le signale le même problème de saturation d’e-mails.
Je débranche alors la connexion internet et je lance
Spybot Search and Destroy (version 1.5.2 à jour). Il trouve ceci :
Smitfraud-C.gp: [SBI $5BE8152F] Réglages Autorun (ctfmona) (Valeur du registre, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmona
Smitfraud-C.gp: [SBI $5BE8152F] Fichier de programme (Fichier, nothing done) C:\WINDOWS\system32\ctfmona.exe Win32.Agent.icb: [SBI $A0EF69BD] Réglages (Valeur du registre, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\mid
Win32.Agent.icb: [SBI $9C8AB327] Réglages (Valeur du registre, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\st
Win32.Agent.icb: [SBI $1E3889AA] Réglages (Valeur du registre, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\iapInit_Dlls Win32.Banker.aipy.rtk: [SBI $F565C0D5] Réglages (Clé du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmandrv
Win32.Banker.aipy.rtk: [SBI $AD7B69FD] Réglages (Clé du registre, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmandrv
Win32.Banker.aipy.rtk: [SBI $4443B172] Bibliothèque (Fichier, nothing done) C:\WINDOWS\system32\qmopt.dll Win32.Agent.cn: [SBI $39D44109] Image (Fichier, nothing done) C:\WINDOWS\system32\ctfmonb.bmp --- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) --- Je supprime le tout et je redémarre. Je vérifie les modifications dans la base de registre (d’après les info de
Spybot) et tout semble avoir été enlevé.
MAIS Les problèmes reviennent.
Je passe le détecteur de Logiciels Malveillants de Microsoft (MRT.exe) de mai 2008, mais il ne détecte rien.
avast ne semble rien détecter non plus, mais dans le journal d’Avast, je trouve qu’il a neutralisé les virus suivants (le 21/05 à 14h00) : Win32 :Agent-SPG [Trj] (lanmandrv.sys) Win32 :Agent-QJA [Trj] (add.exe)
Je désactive à nouveau Internet et je passe en mode Sans Echec.
Avast trouve :
Win32 : Small-JPM [Spy] (Dll.dll) Puis Win32 : Pakes.CSG
Pendant le scan d’Avast, l’ecran de veille “Blackster.scr” s’est déclenché (même en mode Sans Echec) (il fait partie de « Pakes.CSG » qui est aussi « Smitfraud-c.gp » trouvé par
Spybot). J’ai supprimé manuellement le fichier Blackster.scr.
J’ai lancé aussi plusieurs fois
HijackThis (je l’ai renommé en Test H-J.exe) et le dernier scan donne ceci :
Logfile of
HijackThis v1.99.1 Scan saved at 22:49:35, on 21/05/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE:
Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Hercules\DualPix Exchange\Camservice.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\aspimgr.exe C:\Program Files\Executive Software\DiskeeperLite\DKService.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Mozilla
Firefox\firefox.exe C:\Documents and Settings\Senesi\Bureau\OUTILS\Test H-J.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO:
Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO:
Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll O2 - BHO:
Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [CamserviceDP] C:\Program Files\Hercules\DualPix Exchange\Camservice.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem:
Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
http://www.ipix.com/download/ipixx.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) -
http://www.mindjet.com/viewer/eng/MjMmViewer.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123318781378 O16 - DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} (CLVistaGenie Control) -
http://www.cyberlink.com/vista/prog/CLVistaGenie.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service:
a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe O23 - Service:
avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service:
avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service:
avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service:
avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe Deplus, j’ai aussi remarqué qu’un icône « Update Manager » dans le menu Démarrer. C’est Microsoft ASPI Manager, InstallDriver Table Manager et InstallShield Update Manager 3.0. Le processus sont : ISUSPM Startup et ISUSSheduler. Comment sont-ils venus là ? Comment les désinstaller, car rien n’apparaît pas dans Ajouter/Supprimer des Programmes (ni dans la liste de désinstallation de
CCleaner). J’ai aussi une clé dans la base de registre HKLM\Soft..\Micro..\Wind…\Current Version\Run nommée « KernelFaultCheck » avec comme valeur « %systemroot%\system32\dumprep 0 –k ». Cette clé a-t-elle un rapport avec les virus ? Même question pour un Processus nommé « devLdr32.exe » présent dans la liste de processus actifs (lorsque je fais CTRL+Alt+Suppr) ?
Qui peut m’aider ???
D’avance je vous en remercie, car je ne sais plus quoi faire !!
Désinfection impossibe, a l'aide !
