[Abandon] Demande d'analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[Abandon] Demande d'analyse de log

Messagede ckictoa » 17 Mar 2008, 14:13

Bonjour,

Je suis depuis quelques temps contaminé par des fenêtre intempestives dans IE et FireFox.
Je pense qu'il s'agit de Stratex International - SmitFraud - SpySheriff.

J'ai aussi été victime de Virtumonde, je sais, je sais, c'est pas bien, j'ai bosser quelques temps sans antivirus :( Mea Culpa.
J'aurais maintenant besoin de votre aide svp.

En suivant les informations de la page http://assiste.com.free.fr/p/craptheque ... alarm.html, je vous joint le log SmitFraudFix :
Merci pour votre aide.
Cordialement,

SmitFraudFix v2.305

Scan done at 14:09:30,85, 17/03/2008
Run from C:\Documents and Settings\Bulent\Desktop\Tools\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\VMware\VMware Player\hqtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\VMware\VMware Converter\vmware-ufad.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\mstsc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\VMware\VMware Player\vmplayer.exe
C:\Program Files\VMware\VMware Player\bin\vmware-vmx.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bulent


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bulent\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Bulent\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
DNS Server Search Order: 172.20.165.15
DNS Server Search Order: 172.20.160.48
DNS Server Search Order: 172.20.165.16
DNS Server Search Order: 172.20.165.17
DNS Server Search Order: 172.20.160.88

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2B505A6-A085-41FB-B12D-0C86DFD6BA91}: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2B505A6-A085-41FB-B12D-0C86DFD6BA91}: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C2B505A6-A085-41FB-B12D-0C86DFD6BA91}: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.20.165.15 172.20.160.48 172.20.165.16 172.20.165.17 172.20.160.88


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
ckictoa
 
Messages: 2
Inscription: 17 Mar 2008, 14:05

Messagede nickW » 18 Mar 2008, 11:48

Bonjour,


Quels outils as-tu déjà utilisés?



Peux-tu créer puis envoyer deux autres logs:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.


Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 3: Résultats
Envoyer en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ckictoa » 19 Mar 2008, 07:43

Merci pour la réponse.

J'ai essayé tout un tas de truc, nettoyage de la base de registre, en mode sans échec, en bootant sur ERD Commander, etc...
Antivirus en ligne (BitDefender, Housecall)
Cd Hiren 9.3, et antivirus Mcafee et F-Prot

Rien à faire, le BHO revenait, et mon Windows est devenu très vite inutilisable (la barre des tâches platée, les services en état starting...). Le BHO revenait dans le centième de seconde après kill du process ou suppression de la clé, avec des noms de dll générés aléatoirement (dans Windows\system32)

Les dll étaient chargée via runddl32 :o) Le vrai...
J'ai vérifié aussi la cle init_dll (pas forcément correctement analysée par hijack d'ailleurs, d'après ce que j'ai pu lire)
Rien n'y faisait.

Heureusement, je travaille avec des vms (VmPlayer) qui sont elles protégées et intactes.
Comme le xp corrompu n'était que le système hôte, j'ai donc formaté et réinstallé.

J'ai quand même trouvé ce qui m'a vérolé, ce sont des transcender (je prépare une certif). Gare aux transcender, en fait, surtout à leur crack :)

Et ce n'est pas le crack qui infecte le pc, mais infecte l'exécutable trans.exe... (j'ai regardé rapide avec regmon...)
Du coup, je me suis créer une VM spéciale (Bac à Sable)...

Bref, une vraie misère, qui e servira de leçon.
Le système hôte devait juste servir à démarrer les vm (xp, linux, 2003...)
J'ai transgressé ma règle, et au final, la punition est tombée...

A bon entendeur.
Merci à vous.

Cordialement
ckictoa
 
Messages: 2
Inscription: 17 Mar 2008, 14:05


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 25 invités