Spyware qui redirige Firefox vers sites porno !

[ck32]

Bonsoir à tous !!!

J'ai parcouru le forum et d'autre à la recherche d'une solution à mon problème informatique mais je n'ai pas trouvé de solution ni de cas similaires.

Ma config :
Laptop XP SP2 maj effectuées il y a une semaine,
Kerio Personal Fireware et test en ligne OK avant l'infrection,
Avast antivirus
Adaware à jour
Spybot Search and Dextroy à jour
Spyware Doctor
-------------------------------------------------
Hier j'ai lancé un fichier executable recu par mail et depuis mon ordinateur est infesté de virus; spyware...Au moment ou j'ai lancé l'executable Kerio m'a averti d'une tentative d'intrusion et qu'un logiciel essayait d'inscrire du code dans winlogon.exe. Je pense que mon winlogon est corrompu et qu'il permet l'inscription dans les bases de registres de code malveillant !!!

J'ai utiliser tous les antivirus, adaware spyboot, spyware doctor pour virer la plupart des troyens malware ou spyware mais il me reste toujours le probleme de redirection de ma page internet vers des sites commerciaux, porno... Tout cela a été fait en mode sans echec mais rien n'y fait...


Je colle si dessous le log de Kerio et les fichiers incriminées :

Log Kerio :

[03/Dec/2005 15:36:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\tool4.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0215)
[03/Dec/2005 15:39:06] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
[03/Dec/2005 15:39:46] "Hips" type = 'Code injection', action = 'denied', descr = 'Process C:\WINDOWS\system32\socks.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)
[03/Dec/2005 18:42:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[03/Dec/2005 18:45:32] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
[03/Dec/2005 18:52:56] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into (code address: 0x000A047E)
[03/Dec/2005 21:39:12] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[03/Dec/2005 21:39:58] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A049D)
[03/Dec/2005 21:49:40] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A047E)
[04/Dec/2005 10:43:22] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A05B3)
[04/Dec/2005 10:45:52] "Hips" type = 'Code injection', action = 'denied', descr = 'Process \??\C:\WINDOWS\system32\winlog on.exe injected dangerous code into C:\WINDOWS\system32\svchost.ex e (code address: 0x000A0626)

D'après cela winlogon inscrit un code malveillant dans svchost qui permettrait la redirection de mes page web....


Quand j'effectue mes scans même en mode sans echec il me trouve des inscriptions dans le registe que mes logiciels arrivent à virer mais il reviennent au bout de quelques minutes...

Le log hijackthis montre ce qui suit ( En rouge ce qui me parait suscpicieux après une analyse du log en ligne) :

Logfile of HijackThis v1.99.1
Scan saved at 21:28:15, on 04/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.e xe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\s3hotkey.e xe
C:\WINDOWS\system32\S3tray.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\CAPRPCSN.E XE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Administrateur\Bureau \HijackThis.exe
C:\WINDOWS\system32\wuauclt.ex e

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = about:blank
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Intern et Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\ies dsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Driv ers\w32x86\2\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY] S3tray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\driv ers\w32x86\2\CAPPSWN.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npj pi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\ies dpb.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132852450149
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\lv8209loe. dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Journal des événements (Eventlog) - ESS Technology, Inc. - (no file)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - (no file)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe

Quand j'essaie de virer les inscription en rouge qui me sembles dangereuses, elle reviennent au bout de quelques instants...


Voila je pense avoir été complet !!!

Qqn a t il une idée pour me debarasser de ce code malveillant ? Peut-on substituer un winlogon.exe saint à celui que je pense corrompu ? Comment ?

Merci de m'éclairer car je ne veux pas directement reformater le DD...

[JPL]

D'après cela winlogon inscrit un code malveillant dans svchost qui permettrait la redirection de mes page web....

Non, si on lit bien le fichier incriminé n'est pas winlogon mais winlog on ! Il faudrait vérifier s'il y a bien les 2 fichiers et virer winlog on. Mais il ne semble pas être le seul en cause.
Je vois aussi dans hijackthis winlogon.e xe, services.e xe, svchost.ex e

Il faut quand même vérifier si ces espaces intempestifs ne sont pas tout simplement un artefact du copié-collé et s'ils existent bien dans les logs initiaux.

[traaf]

Hier j'ai lancé un fichier executable recu par mail et depuis mon ordinateur est infesté de virus

ah ben ouis mais bon , quoi !
quelle idée aussi, on a beau avoir toutes ces protections a jour, c'est LA chose a ne pas faire

bon courage

[ck32]

Bonjour !

@JPL : C'est vrai, je n'avais pas vu winlogon.e xe, services.e xe, svchost.ex e !!! Je vérifie cela dès ce soir quand je serai face à l'ordinateur... Il se peut que ce ne soit qu'un souci de copier/coller...

@ traaf : Eh oui on se croit proteger et hop un clic sur un .exe et c'est la galère...

Merci encore et @plus

[Cyrrus]

Bonsoir à tous,

Ton rapport montre un signe d'infection par Looktome. Suit cette procédure je te prie :

Télécharge L2MRemover.zip : http://www.simplytech.it/L2MRemover/L2MRemover.zip

Dézippe le, installe l'exécutable dans C:\Program Files\Look2meRemover

Supprime le Système de restauration :
http://www.libellules.ch/desactiver_restauration.php

1. Clique sur L2MRemover.exe, pour lancer le programme.
2. Clique sur "About" > "Check for updates..." dans le menu du programme pour le mettre a jour.
3. Clique sur "Scan" et attendre que le scan complet soit fait.

4. Clique sur "Delete Keys" Boutton, pour nettoyer la base de registre.

Si tu n'es pas sûr, tu peux cocher "Save before delete"
pour avoir une sauvegarde des clés supprimées ; ceci créera un fichier .reg)

Note :
Si tu as un message d'erreur qui dit qu'il te faut le fichier Msinet.ocx ou Comctl32.ocx :
Télécharge DLLs.zip et extrais les (en suivant les instructions du fichier ReadMe.txt), ou simplement télécharge Look2Me Remover Setup Kit
Plus d'information sur Look2Me Remover V.1.0.0

Remettre le Système de restauration :
http://www.libellules.ch/desactiver_restauration.php

Merci à SimplyTech, le concepteur de ce programme

[ck32]

Merci pour toute les infos mais le situation est plus compliquée que ce qui est decrit par le fichier L2MRemover.zip !!! Cette saloperie se reinstalle dès que je l'ai viré !!! Bref j'ai finalement decidé de reformater et de reinstaller la config d'origine du laptop cad : win2k !!!


Et là encore, suite à la reinstallation la phase de mise à jour de windows est devenu un moment où on se chope plus d'une centaine de vers malware, virus... qui exploitent les faillent de win2k cette la mise à jour !!!

J'ai reussit presque tous à les virer mais il ne me reste plus qu'une soucis.

Lors du demarrage, une application (fenêtre DOS)s'execute et me reinstalle un virus nommé bleh.exe) !!!
Le virus est facile à virer mais à chaque redemarage la même fenêtre et le même fichier...

Le log hijackthis ne montre rien de particulier (j'ai fait une analyse en ligne) :

Logfile of HijackThis v1.99.1
Scan saved at 09:51:00, on 13/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\HPConfig.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt .exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\s3hotkey.exe
C:\WINNT\system32\S3trayhp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Soft4Ever\looknstop\look nstop.exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Documents and ettings\Administrateur\Bureau\ HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = www.free.fr
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = www.google.fr
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = www.free.fr
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
F2 - REG:system.ini: Shell=C:\WINNT\Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\look nstop.exe" -auto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\ EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1133982656676
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\System32\HPConfig.exe

QQn a t il une idée ? Comment peut on voir quelle application a généré un fichier lors du demarrage ?

PS : En mode san echec, cette application ne lance pas et le fichier virus bleh.exe n'est pas généré !!!

Merci
@plus

[Cyrrus]

Bref j'ai finalement decidé de reformater et de reinstaller la config d'origine du laptop cad : win2k !!!

Grrrrr pourquoi n'as tu pas fait ce que je te demandais de faire. J'aurais pu m'en occupé aussi de ton problème de reinstallation, cette manip ciblait principalement L2M qui est parti lui, evidemment !

Et là encore, suite à la reinstallation la phase de mise à jour de windows est devenu un moment où on se chope plus d'une centaine de vers malware, virus... qui exploitent les faillent de win2k cette la mise à jour !!!

Tu n'aurais rien chopé de plus si tu n'avais pas formaté, maintenant tu est apparemment infecté, et tu n'as rien appris sur ton systeme...
Passe un coup d'Ewido ( http://download.ewido.net/ewido-setup.exe ) en mode complet et sauve le rapport à la fin du scan. Poste le...si tu ne reformates pas bien sur.

Cyrrus