Virtumonde Favorit : suspicion éradication

Résolu
CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,

J'ai, cette nuit, demandé à Spybot S&D de vérifier mon PC Dell Inspiron I1720 ; verdict affiché ce matin :
Félicitations! Aucun mouchard n'a été trouvé !

Néanmoins, précédaient 514 messages Erreur lors des vérifications! :
- 1-511: Microsoft.Windows.RedirectedHosts [nnn - §hex_Addr] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 512: Dummy [1 - §649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 513: Dummy [1 - §649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 514: Virtumonde.sdn [5033 - §0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)

Ça faisait un bout de temps que je n'avais demandé à Spybot de vacciner :(
Hier, j'ai laissé ouverte ma hotmail-box toute la journée, chose que je ne fais jamais. Comme, avant d'éteindre le PC, j'avais remarqué qu'il ramait inhabituellement (beaucoup d'activité sur le disque dur mais, avec Vista, on peut s'attendre à celà et à de tout !!!) :
1. j'ai demandé à Malekal_Morte (free), base updatée, de faire un scan rapide (en MSE et en tant qu'admin) : verdict = pas de saloperie...
2. j'ai mis à jour la base de Spybot puis lui ai fait faire un scan complet dont je livre le verdict supra.
3. Je viens de "vacciner".
4. J'ai alors effectué un scan par Avira AntiVir qui m'a laissé le diagnostic suivant : les 2 avertissements usuels + celui-ci :
C:\Users\venus\Downloads\OOo_3.1.0_Win32Intel_install_fr.exe.part
[0] Type d'archive: NSIS
--> e
[1] Type d'archive: CAB (Microsoft)
--> crashrep.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

1. Faut-il recréer le Host file et comment ?
2. Je suppose qu'il faudra éradiquer les saloperies associées à Virtumonde mais je ne prends pas sur moi d'exécuter tout seul Navilog1 sans être monitoré.
3. Est-ce le fait de ne plus avoir "vacciné" via Spybot qui m'a peut-être "offert" à l'"infection" ?
4. Quelle est la meilleure prévention possible pour ne plus se faire coller cet adware Favorit à l'insu de notre plein gré ? Note : il faut dire qu'avec ABP on n'a pas conscience de la haute ou de la basse activité des Adwares sur notre petite bécane adorée !!!

Merci pour une guidance !



La supériorité du QI ne compense pas la médiocrité du coe­ur.

7 réponses

  1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
     
    Commentaire ajouté au sujet.

    Je viens d'effectuer un ZHPDiag dont le diagnostic est déposé chez Cijoint.fr :
    ZHPDiag.txt


    O2 en bleu :
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)

    O53 en rouge :
    O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe

    O64 en bleu :
    O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
    O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
    O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
    O64 - Services: CurCS - (.not file.) - AVG Anti-Spyware Clean Driver (AvgAsCln) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGASCLN
    O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP
    O64 - Services: CurCS - (.not file.) - catchme (catchme) .(.Pas de propriétaire - Pas de description.) - LEGACY_CATCHME
    O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT
    O64 - Services: CurCS - (.not file.) - File Security Driver (IKFileSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKFILESEC
    O64 - Services: CurCS - (.not file.) - System Filter Driver (IKSysFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSFLT
    O64 - Services: CurCS - (.not file.) - System Security Driver (IKSysSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSSEC
    O64 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfeavfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEAVFK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfebopk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEBOPK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK01
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mferkdk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFERKDK
    O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfesmfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFESMFK
    O64 - Services: CurCS - (.not file.) - MPFP (MPFP) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPFP
    O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
    O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR

    O66 en bleu :
    O66 - EventLog: ID=455 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\CatRoot2\edb001B2.log (.not file.)

    ---\\ Infection BT - BHO/Toolbar (Possible)
    O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe

    sKe69 est-il amateur ?
    0
  2. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
     
    UP
    0
  3. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut CCMclaude

    On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Les rapports sont dans le dossier ici C:\rsit

    @++ :)
    0
    1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Salut dédétraqué,
      Voici que je rentre. Merci de te pencher sur ce cas.
      Comme je roule en Vista, n'oublie pas de me signaler à chaque fois quand je dois faire tourner l'outil en MSE et/ou en session (ou droits d') Administrateur et/ou avec/sans les protections AV et Parefeu.

      Je télécharge et j'envoie la sauce.
      À toute.
      0
    2. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Voici...

      1. Cijoint log.txt ...
      2. Cijoint info.txt ...
      ____
      J'ai ensuite effectué un CCleaner puis mis à jour MalwareByte Antimalware, redémarré et exécuté MBAM dont voici le rapport :

      Malwarebytes' Anti-Malware 1.45
      www.malwarebytes.org

      Version de la base de données: 3954

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.18904

      5/04/2010 2:44:33
      mbam-log-2010-04-05 (02-44-33).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 286598
      Temps écoulé: 1 heure(s), 16 minute(s), 32 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)

      ____________________
      Rien !
      Étrange, n'est-il pas ?
      ___________________
      Je relance Spybot et vais dormir
      À++
      0
    3. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Re,
      Voici les logs que m'a livrés Spybot SD :


      1. Update downloads (.log)
      2010-04-05 03:11:06 Fichier de mise à jour téléchargé. (http://www.safer-networking.org/updates/spybotsd.ini)

      2. Checks.100405-0311 (.log)
      05.04.2010 03:11:19 - ##### check started #####
      05.04.2010 03:11:19 - ### Version: 1.6.2
      05.04.2010 03:11:19 - ### Date: 5/04/2010 3:11:19
      05.04.2010 03:11:24 - ##### checking bots #####
      05.04.2010 03:27:43 - ##### check finished #####

      3. Checks.100405-0327 (.log)
      --- Report generated: 2010-04-05 03:27 ---
      Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.VirusDoctor [31 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [7 - $4648F8E3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [8 - $31C9E1F3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [1 - $85FC4658] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [2 - $B197733A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [3 - $3A1D70D6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1 - $A3B707CB] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [2 - $D103550A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [3 - $9D14B66F] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      ...
      etc etc etc
      ... fin du rapport :

      ...
      Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1072 - $7CA381F6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1073 - $282300E8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Félicitations!: Aucun mouchard n'a été trouvé. (Status)

      --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
      2009-01-26 blindman.exe (1.0.0.8)
      2009-01-26 SDFiles.exe (1.6.1.7)
      2009-01-26 SDMain.exe (1.0.0.6)
      2009-01-26 SDShred.exe (1.0.2.5)
      2009-01-26 SDUpdate.exe (1.6.0.12)
      2009-01-26 SDWinSec.exe (1.0.0.12)
      2009-01-26 SpybotSD.exe (1.6.2.46)
      2009-03-05 TeaTimer.exe (1.6.6.32)
      2008-08-07 unins000.exe (51.49.0.0)
      2009-01-26 Update.exe (1.6.0.7)
      2009-11-04 advcheck.dll (1.6.5.20)
      2007-04-02 aports.dll (2.1.0.0)
      2008-06-14 DelZip179.dll (1.79.11.1)
      2008-09-15 SDHelper.dll (1.6.2.14)
      2008-06-19 sqlite3.dll
      2009-01-26 Tools.dll (2.1.6.10)
      2010-02-17 Includes\Adware.sbi (*)
      2010-03-30 Includes\AdwareC.sbi (*)
      2010-01-25 Includes\Cookies.sbi (*)
      2009-11-03 Includes\Dialer.sbi (*)
      2010-03-30 Includes\DialerC.sbi (*)
      2010-01-25 Includes\HeavyDuty.sbi (*)
      2009-05-26 Includes\Hijackers.sbi (*)
      2010-03-30 Includes\HijackersC.sbi (*)
      2010-01-20 Includes\Keyloggers.sbi (*)
      2010-03-30 Includes\KeyloggersC.sbi (*)
      2010-03-02 Includes\Malware.sbi (*)
      2010-03-30 Includes\MalwareC.sbi (*)
      2009-03-25 Includes\PUPS.sbi (*)
      2010-03-30 Includes\PUPSC.sbi (*)
      2010-01-25 Includes\Revision.sbi (*)
      2009-01-13 Includes\Security.sbi (*)
      2010-03-30 Includes\SecurityC.sbi (*)
      2008-06-03 Includes\Spybots.sbi (*)
      2008-06-03 Includes\SpybotsC.sbi (*)
      2010-03-02 Includes\Spyware.sbi (*)
      2010-03-30 Includes\SpywareC.sbi (*)
      2010-03-08 Includes\Tracks.uti
      2010-03-03 Includes\Trojans.sbi (*)
      2010-03-30 Includes\TrojansC-02.sbi (*)
      2010-03-30 Includes\TrojansC-03.sbi (*)
      2010-03-30 Includes\TrojansC-04.sbi (*)
      2010-03-30 Includes\TrojansC-05.sbi (*)
      2010-03-30 Includes\TrojansC.sbi (*)
      2008-03-04 Plugins\Chai.dll
      2008-03-05 Plugins\Fennel.dll
      2008-02-26 Plugins\Mate.dll
      2007-12-24 Plugins\TCPIPAddress.dll

      4. SpybotSD.Results (.txt)
      --- Search result list ---
      Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
      Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)

      __________________________________________________________________________
      Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...

      Ne serait-il pas plus simple de réinitialiser un fichier Host "clean" ???
      0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut CCMclaude

    Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
    Non rien d'infectieux, spybot modifie lui même le fichier hosts en y ajoutant des sites indésirables.
    https://www.malekal.com/fichier-hosts/

    Faire un clique droit sur le raccourci d'HijackThis sur ton Bureau et choisir exécuter en tant qu'administrateur, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
    Si pas de raccourci sur le bureau, il ce trouve ici :
    C:\Program Files\trend micro\venus.exe

    R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)


    - Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

    - Quitte HijackThis

    Si tu as des questions ou autre souci?

    @++ :)
    0
    1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Voilà qui est fait : les 3 lignes étaient toujours présentes.
      Tu n'as aucun commentaire à faire concernant cette ligne que j'avais surlignée
      Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status) ???
      Sinon, à part cela, je ne remarque rien de spécial sauf ces ralentissements, rares et épisodiques mais significatifs de ma machine, en fin de journée, comme si un process se mettait en route en arrière-plan qui semble me bouffer toutes les ressources de la machine.
      Ce qui m'emm.... en fait, c'est que je ne sais pas me l'expliquer.
      En tout cas, merci d'être venu voir !
      À+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut CCMclaude

    Je vais vérifier le contenu du fichier hosts, utilise cjoint.com pour poster en lien ton fichier :
    https://www.cjoint.com/

    - Clique sur Parcourir et copier/coller ceci:
    C:\WINDOWS\system32\drivers\etc\hosts

    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    @++ :)
    0
    1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Merci dédétraqué !
      Voici le lien demandé : Horreur: il y a du seks
      :-\
      NB : il me fallait les droits d'administrateur pour aller "ouvrir" le hosts : serait-ce pour cela que Spybot, exécuté sans les droits d'administrateur, m'a "livré" tous ces messages d'accès refusé ?

      <EDIT>
      Je viens de ré-exécuter Spybot S&D avec les droits d'administrateur et il ne m'a plus rien trouvé, absolument rien, nada !
      Note qu'après j'ai vérifié son set-up et il ne vérifie pas le fichier Hosts mais peut-être cela n'a-t-il absolument aucun rapport !!!
      À+
      </EDIT>
      0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut CCMclaude

    Je pense que cela a un rapport de ne pas avoir exécuter en mode administrateur, ton rapport ne contient rien de suspect, on peut quand même restaurer le fichier a l'origine si le demande et tu n'auras plus cette erreur en double cliquant dessus.

    Pour la lenteur :
    Avira AntiVir
    AVG Anti-Virus Free
    AVG Anti-Spyware
    COMODO Internet Security
    Malwarebytes
    Windows Defender
    Spybot

    https://forum.malekal.com/viewtopic.php?t=4650&start=

    @++ :)
    0
    1. CCMclaude Messages postés 27560 Date d'inscription   Statut Contributeur Dernière intervention   741
       
      Merci pour ton aide dédétraqué.
      Je vais passer en résolu.
      Juste un truc en attendant de (re)lire le topic de malekal : existe-t-il un inconvénient significatif à réinitialiser le Host file ?
      A+
      0
  8. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut CCMclaude

    Rien à craindre avec la restauration du fichier Hosts, déjà Wot fais le même boulot pour le blocage des sites néfastes.

    Voilà se que je te conseil :

    Antivir
    Malewarebytes
    Comodo -- seulement le par feu (firewall)

    Et tu vires tous le restes ++

    @++ :)
    0