Votre question

Infection Trojan/Malware

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Décembre 2008 11:06:38

Bonjour,

Un poste a récupéré depuis quelques jours un malware qui fait apparaitre une alerte dans la barre des tâches en permanence et fait poper de temps en temps un message du type "Self-restoring Trojan virus that can lead to total system crash has been detected on your PC.". La page d'accueil d'IE a également été modifiée pour google.

Spybot et Symantec Antivirus sont incapable de l'enlever (bien que ce dernier détecte un "Trojan Horse"), je me tourne donc vers vous.

Voici le rapport Hijackthis (j'ai étoilé certaine partie par mesure de sécurité, le poste étant pour une utilisation professionnelle) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:08, on 30/12/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\OraHome1\bin\vppdc.exe
C:\OraHome1\BIN\TNSLSNR.exe
c:\orahome1\bin\ORACLE.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spauthserv.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\EasyPHP1-7\easyphp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINNT\msauc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINNT\system32\svschost.exe
C:\EASYPH~1\Apache\apache.exe
C:\EASYPH~1\MySql\bin\mysqld.exe
C:\WINNT\system32\svñshost.exe
C:\EASYPH~1\Apache\apache.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINNT\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par **** S.T.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 129.9.61.4 sumba
O1 - Hosts: 192.10.3.1 brignoles
O1 - Hosts: 192.0.0.98 herouville
O1 - Hosts: 1.0.0.2 marquette
O1 - Hosts: 128.1.11.16 nevers
O1 - Hosts: 192.9.200.248 romans
O1 - Hosts: 172.16.1.201 antony
O1 - Hosts: 140.120.236.1 boulogne
O1 - Hosts: 125.0.13.137 versailles
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [EasyPHP] "C:\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [lsass driver] C:\WINNT\msauc.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [svschost.exe] C:\WINNT\system32\svschost.exe -check
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://extranet.mairie-palaiseau.fr/dana-cached/setup/...
O16 - DPF: {B20D9D6A-0DEC-4D76-9BEF-175896006B4A} (RptViewerAX Class) - http://sipiweb/wi/distribution/RptViewerfr.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://eu.ntrsupport.com/nv/inquiero/mod/setup/ntracti...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEB550C3-F82B-4433-9166-EAC448E5CB4A}: NameServer = 10.0.49.2,10.0.49.245
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.****.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ****.fr,***.fr,****.fr,*****.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ****.fr,*****.com,****.fr,****.fr,******.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ****.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ****.fr,*****.com,****.fr,****.fr,******.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ****.fr,*****.com,****.fr,****.fr,******.fr
O23 - Service: CA-OpenIngres Client (CA-OpenIngres_Client) - Unknown owner - C:\OPING\ingres\bin\clntproc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MaelisAgent - Unknown owner - C:\Documents and Settings\***\Bureau\Maelis2_16_xx-b\Version2_16_xx\partage\applis\MaelisAgent.exe (file missing)
O23 - Service: OracleOUIHomeAgent - Oracle Corporation - C:\OraHome1\bin\dbsnmp.exe
O23 - Service: OracleOUIHomeClientCache - Unknown owner - C:\OraHome1\BIN\ONRSD.EXE
O23 - Service: OracleOUIHomeCMAdmin - Unknown owner - C:\OraHome1\BIN\CMADMIN.EXE
O23 - Service: OracleOUIHomeCMan - Unknown owner - C:\OraHome1\BIN\CMGW.EXE
O23 - Service: OracleOUIHomeDataGatherer - Oracle Corporation - C:\OraHome1\bin\vppdc.exe
O23 - Service: OracleOUIHomeHTTPServer - Unknown owner - C:\OraHome1\Apache\Apache\Apache.exe
O23 - Service: OracleOUIHomePagingServer - Unknown owner - C:\OraHome1/bin/pagntsrv.exe
O23 - Service: OracleOUIHomeTNSListener - Unknown owner - C:\OraHome1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceeltn - Oracle Corporation - c:\orahome1\bin\ORACLE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SwiftPublish Authorization Service (SPAuthServ) - SwiftView,Inc - C:\WINNT\system32\spauthserv.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

--
End of file - 9355 bytes


Merci de votre aide.

Autres pages sur : infection trojan malware

31 Décembre 2008 08:58:13

Bonjour,

Malwarebytes' Anti-Malware refuse obstinement de se lancer sur le poste vérolé (2000pro SP4), que ce soit la version 1.31 ou la version 1.17 et en mode sans echec comme en mode normal. Il fonctionne parfaitement sur un autre poste (en XP lui), donc à priori ce n'est pas un soucis avec les fichiers récupérés.
L'installation se déroule correctement et il n'y a aucune info dans l'observateur d'évènements de Windows.

J'en profite pour rajouter une information, d'après Symantec, le fichier \system32\drivers\tdssdalb.sys est vérolé par un Trojan Horse mais il n'arrive pas à le supprimer.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS