Spyware - Vers SINNAKA

[Rafracing]

Bonjour à tous,

Mon PC est infecté par le vers Sinnaka. J'ai lu qu'il fallait faire un rapport ewido et Hijackthis (conseil de Cyrrus) avant toute chose. Je suis en train de le faire. Je poste très prochainement les rapports.

Merci de votre aide future !

[Rafracing]

RAPPORT EWIDO (9 infections dont 7 nettoyés)

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 16:03:56, 13/12/2005
+ Somme de contrôle: EF82E8BE

+ Résultats du scan:

C:\WINDOWS\system32\mssearchne t.exe -> Downloader.Zlob.ca : Ignoré
C:\WINDOWS\system32\msvol.tlb -> Downloader.Zlob.cf : Ignoré
HKLM\SOFTWARE\Classes\CLSID\{7 24510C3-F3C8-4FB7-879A-D99F29008A2F} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objecta\{724510c3-f3c8-4fb7-879a-d99f29008a2f} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objects\{724510c3-f3c8-4fb7-879a-d99f29008a2f} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
HKU\S-1-5-21-1177238915-2111687655-854245398-1003\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{72 4510C3-F3C8-4FB7-879A-D99F29008A2F} -> Hijacker.SpyAxe : Nettoyer et sauvegarder
[720] C:\WINDOWS\system32\ld7AE5.tmp -> Downloader.Zlob.ce : Erreur durant le nettoyage
[2380] C:\WINDOWS\system32\hp748F.tmp -> Trojan.Puper.bq : Erreur durant le nettoyage
C:\WINDOWS\Temp\trzA.tmp -> Downloader.Zlob.ce : Nettoyer et sauvegarder


::Fin du rapport

[Rafracing]

RAPPORT HIJACKTHIS


Logfile of HijackThis v1.99.1
Scan saved at 16:09:04, on 13/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\PROGRA~1\FICHIE~1\AOL\ACS\A OLacsd.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\Program Files\Compaq\EAB\EABSERVR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AO LAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay .exe
C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
C:\Program Files\SpyFighter\SpyFighter.ex e
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\Olympus\DeviceDetector\D evDtct2.exe
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\AOL Compagnon\companion.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\mssearchne t.exe
C:\Logiciels contre Sinnaka\hijackthis\HijackThis. exe

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: (no name) - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp748F.tmp
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EABSERVR.EXE /Start
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AO LAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay .exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as hDisp.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Program Files\SpyFighter\SpyFighter.ex e" monitor
O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Program Files\SpyFighter\AutoUpdate.ex e" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\Olympus\DeviceDetector\D evDtct2.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dl l
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.d ll
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version6/Applet/vchatsign.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\A OLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[Rafracing]

Voilà, merci de me dire ce que je dois faire !

[DarKPhoeniX]

Passer un coup d'antivirus sans coller des rapports de 5 pages.

[Sushi]

Bienvenue Rafracing,

Effectivement, bien que ce soit très peu élégamment dit, tu peux commencer par utiliser ton AV. Consultes également ce lien http://www.sarc.com/avcenter/venc/da...naka.a@mm.html et complètes éventuellement avec une petite recherche Google pour vérifier si une méthode de désinfection n'est pas disponible ici ou là ; en attendant l'avis d'un membre du forum plus avisé.

Bon courage
@+
Raphaël

[JPL]

Face à une infection, il y a plusieurs stratégies possibles. Si ton antivirus a signalé la présence d'une infection, en général il désinfectera le PC si tu relances Windows en mode sans échec, si tu arrête la restauration du système et si tu fais alors un scan avec l'antivirus.
Mais généralement une infection en cache plusieurs autres. Tu as donc ici http://forums.futura-sciences.com/thread53476.html une procédure plus complète préconisée par yoda1234. Certaines choses peuvent parfois résister à cette procédure : les rapports de Ewido et HijackThis sont alors indispensables et les conseils de Cyrrus sont bienvenus.

[Sushi]

Double emploi avec le message de JPL donc je l'enlève, d'autant qu'il est bien plus clair que le mien.

Bon courage
@+
Raphaël

[yoda1234]

Bonjour
après un coup d'oeil rapide, je peux voir que tu as une trace d'infection:

Citation:

O2 - BHO: (no name) - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hp748F.tmp

Voir ici.
D'ailleurs les traces dont je te parle correspondent a l'echec de désinfection du rapport Ewido.

[Rafracing]

###############

1. #####################

2. Poster les deux rapports est un conseil de Cyrrus qui lui, ne poste pas pour s'la jouer et dire des conneries : http://forums.futura-sciences.com/thread53483.html

3. Il s'agit d'un vers et non d'un virus. Mon anti-virus ne peut rien contre Sinnaka. Alors tu sauras quoi faire avant de l'ouvrir la prochaine fois.

Je me suis permis de supprimer ce qui pourrait nuire à la bonne humeur que nous souhaitons voir régner ici.

JPL, modérateur

[JPL]

La plupart des soi-disant virus actuels sont des vers, lesquels implantent souvent en plus des backdoors, chevaux de Troie, etc. Donc les antivirus sont efficaces contre les vers (à condition de les utiliser en mode sans échec). Mais bien sûr ils ne sont pas tous également performants pour le % de reconnaissance et de désinfection.

[Rafracing]

Dans ce cas là, merci de faire de même avec le post de DarKPhoeniX qui lui aussi nuit à la bonne humeur du forum. Car je rapelle que ma réponse lui était destinée. Je rappelle aussi que si l'on trouve un post fort déplaisant de par sa longueur (ce qui est curieux mais passons), libre à nous d'ignorer le sujet et de passer à autre chose, et cela sans chercher à vouloir provoquer l'auteur du sujet.

J'ajoute une dernière précision trouvée dans le post de yoda, et qui pourrait certainement servir à ce cher DarKPhoenix :

"Télécharger HijackThis et l'installer dans un dossier qui lui est réservé.
Ensuite le lancer et cliquer sur le bouton "Do a system scan and save a logfile".Au bout de quelques secondes le programme produit un "journal"et simultanément le recopie dans le bloc note de windows.Il ne vous reste plus qu'a le soumettre sur le forum en faisant un copié-collé."

[Sushi]

Bonjour Rafracing ,

Chacun a compris la légitimité de ta question et pour ma part je relève son grand intêret.
Je croyais ce ver facile à éliminer en lisant la fiche de Symantech...

http://www.sarc.com/avcenter/venc/da...naka.a@mm.html
Wild

Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Easy

Une question tout de même concernant ce ver : Y aurait il une confusion entre le lien que j'ai proposé et le vers qui à infecté ta machine ? Une variante ?

En tout cas, rassure toi, tu trouveras à coup sûr des personnes de bonne volonté sur ce forum, qui t'aideront au mieux de leurs capacités.

Pour ma part, je garde un oeil sur ton sujet, car cette menace semble en fait bien plus sensible qu'il n'y paraissait de prime abord.

Bien sincèrement
@+
Raphaël

[Cyrrus]

Bonjour à tous/toutes,

Je ne peux pas analyser ton rapport hijackthis ce soir, je le ferai vendredi (désolé mais je suis vraiment overbooké).

Pour ce qui est de l'infection, elle est due à un cocktail avec comme ingredients principal Spyaxe, variante de smitfraud, qui necessitent un protocole de desinfection précis. Le reste devrait s'en aller avec HJT et Ewido.

En attendant j'aimerais que tu enleves Spyfighter, car je ne trouve rien de mauvais sur lui, mais absolument rien de bon non plus. Dans le doute, je prefere que tu l'enleves.

Bonne soirée
Cyrrus

[Cyrrus]

edit...double post...
Pendant que j'y suis, n'enleves pas Spyfighter il est clean (apres recherche). A priori il ne reste que Spyaxe, tant mieux..

[Rafracing]

D'accord j'attends vendredi avant d'agir.

Merci, Raf

[Sushi]

Salut Raf,

En attendant l'intervention de Cyrrus, tu peux poster ton log en ligne ICI, un outil d'analyse t'aidera à faire un tri très facilement.

@+
Raphaël

[yoda1234]

Bonjour
Attention tout de mème avec cette adresse!!!
Voir ma réponse par ailleurs.