Virtumonde Favorit : suspicion éradication [Résolu/Fermé]

Signaler
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
-
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
-
Bonjour,

J'ai, cette nuit, demandé à Spybot S&D de vérifier mon PC Dell Inspiron I1720 ; verdict affiché ce matin :
Félicitations! Aucun mouchard n'a été trouvé !

Néanmoins, précédaient 514 messages Erreur lors des vérifications! :
- 1-511: Microsoft.Windows.RedirectedHosts [nnn - §hex_Addr] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 512: Dummy [1 - §649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 513: Dummy [1 - §649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)
- 514: Virtumonde.sdn [5033 - §0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé)

Ça faisait un bout de temps que je n'avais demandé à Spybot de vacciner :(
Hier, j'ai laissé ouverte ma hotmail-box toute la journée, chose que je ne fais jamais. Comme, avant d'éteindre le PC, j'avais remarqué qu'il ramait inhabituellement (beaucoup d'activité sur le disque dur mais, avec Vista, on peut s'attendre à celà et à de tout !!!) :
1. j'ai demandé à Malekal_Morte (free), base updatée, de faire un scan rapide (en MSE et en tant qu'admin) : verdict = pas de saloperie...
2. j'ai mis à jour la base de Spybot puis lui ai fait faire un scan complet dont je livre le verdict supra.
3. Je viens de "vacciner".
4. J'ai alors effectué un scan par Avira AntiVir qui m'a laissé le diagnostic suivant : les 2 avertissements usuels + celui-ci :
C:\Users\venus\Downloads\OOo_3.1.0_Win32Intel_install_fr.exe.part
[0] Type d'archive: NSIS
--> e
[1] Type d'archive: CAB (Microsoft)
--> crashrep.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.


1. Faut-il recréer le Host file et comment ?
2. Je suppose qu'il faudra éradiquer les saloperies associées à Virtumonde mais je ne prends pas sur moi d'exécuter tout seul Navilog1 sans être monitoré.
3. Est-ce le fait de ne plus avoir "vacciné" via Spybot qui m'a peut-être "offert" à l'"infection" ?
4. Quelle est la meilleure prévention possible pour ne plus se faire coller cet adware Favorit à l'insu de notre plein gré ? Note : il faut dire qu'avec ABP on n'a pas conscience de la haute ou de la basse activité des Adwares sur notre petite bécane adorée !!!

Merci pour une guidance !



La supériorité du QI ne compense pas la médiocrité du coe­ur.

7 réponses

Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Commentaire ajouté au sujet.

Je viens d'effectuer un ZHPDiag dont le diagnostic est déposé chez Cijoint.fr :
ZHPDiag.txt


O2 en bleu :
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)

O53 en rouge :
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe

O64 en bleu :
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - AVG Anti-Spyware Clean Driver (AvgAsCln) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGASCLN
O64 - Services: CurCS - (.not file.) - Beep (Beep) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEEP
O64 - Services: CurCS - (.not file.) - catchme (catchme) .(.Pas de propriétaire - Pas de description.) - LEGACY_CATCHME
O64 - Services: CurCS - (.not file.) - FAT12/16/32 File System Driver (fastfat) .(.Pas de propriétaire - Pas de description.) - LEGACY_FASTFAT
O64 - Services: CurCS - (.not file.) - File Security Driver (IKFileSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKFILESEC
O64 - Services: CurCS - (.not file.) - System Filter Driver (IKSysFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSFLT
O64 - Services: CurCS - (.not file.) - System Security Driver (IKSysSec) .(.Pas de propriétaire - Pas de description.) - LEGACY_IKSYSSEC
O64 - Services: CurCS - (.not file.) - mchInjDrv (mchInjDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_MCHINJDRV
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfeavfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEAVFK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfebopk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEBOPK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk01) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK01
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mferkdk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFERKDK
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfesmfk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFESMFK
O64 - Services: CurCS - (.not file.) - MPFP (MPFP) .(.Pas de propriétaire - Pas de description.) - LEGACY_MPFP
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR

O66 en bleu :
O66 - EventLog: ID=455 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\CatRoot2\edb001B2.log (.not file.)

---\\ Infection BT - BHO/Toolbar (Possible)
O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe

sKe69 est-il amateur ?
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
UP
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut CCMclaude


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Salut dédétraqué,
Voici que je rentre. Merci de te pencher sur ce cas.
Comme je roule en Vista, n'oublie pas de me signaler à chaque fois quand je dois faire tourner l'outil en MSE et/ou en session (ou droits d') Administrateur et/ou avec/sans les protections AV et Parefeu.

Je télécharge et j'envoie la sauce.
À toute.
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Voici...

1. Cijoint log.txt ...
2. Cijoint info.txt ...
____
J'ai ensuite effectué un CCleaner puis mis à jour MalwareByte Antimalware, redémarré et exécuté MBAM dont voici le rapport :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3954

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

5/04/2010 2:44:33
mbam-log-2010-04-05 (02-44-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 286598
Temps écoulé: 1 heure(s), 16 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

____________________
Rien !
Étrange, n'est-il pas ?
___________________
Je relance Spybot et vais dormir
À++
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Re,
Voici les logs que m'a livrés Spybot SD :


1. Update downloads (.log)
2010-04-05 03:11:06 Fichier de mise à jour téléchargé. (http://www.safer-networking.org/updates/spybotsd.ini)

2. Checks.100405-0311 (.log)
05.04.2010 03:11:19 - ##### check started #####
05.04.2010 03:11:19 - ### Version: 1.6.2
05.04.2010 03:11:19 - ### Date: 5/04/2010 3:11:19
05.04.2010 03:11:24 - ##### checking bots #####
05.04.2010 03:27:43 - ##### check finished #####

3. Checks.100405-0327 (.log)
--- Report generated: 2010-04-05 03:27 ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.VirusDoctor [31 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [7 - $4648F8E3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsEnterpriseDefender [8 - $31C9E1F3] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [1 - $85FC4658] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [2 - $B197733A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.WindowsProtectionSuite [3 - $3A1D70D6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1 - $A3B707CB] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [2 - $D103550A] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [3 - $9D14B66F] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
...
etc etc etc
... fin du rapport :

...
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1072 - $7CA381F6] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Microsoft.Windows.RedirectedHosts [1073 - $282300E8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Dummy [1 - $649C5A6E] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Félicitations!: Aucun mouchard n'a été trouvé. (Status)

--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---
2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SDWinSec.exe (1.0.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2008-08-07 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2010-02-17 Includes\Adware.sbi (*)
2010-03-30 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-03-30 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-03-30 Includes\HijackersC.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-03-30 Includes\KeyloggersC.sbi (*)
2010-03-02 Includes\Malware.sbi (*)
2010-03-30 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2010-03-30 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-03-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-03-02 Includes\Spyware.sbi (*)
2010-03-30 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-03-03 Includes\Trojans.sbi (*)
2010-03-30 Includes\TrojansC-02.sbi (*)
2010-03-30 Includes\TrojansC-03.sbi (*)
2010-03-30 Includes\TrojansC-04.sbi (*)
2010-03-30 Includes\TrojansC-05.sbi (*)
2010-03-30 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

4. SpybotSD.Results (.txt)
--- Search result list ---
Erreur lors des vérifications!: Win32.AdAgent.q [1 - $7A034F48] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [214 - $52F85B79] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [215 - $4B75F45C] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)
Erreur lors des vérifications!: Fraud.Sysguard [216 - $4ED7AEDC] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status)

__________________________________________________________________________
Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...

Ne serait-il pas plus simple de réinitialiser un fichier Host "clean" ???
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut CCMclaude


Je me demande s'il ne s'agit pas de traces de merdouilles résiduelles ; j'ai lu la doc de Spybot concernant ces entrées dans le fichier Host et, pour moi, c'est pas trop clair...
Non rien d'infectieux, spybot modifie lui même le fichier hosts en y ajoutant des sites indésirables.
https://www.malekal.com/fichier-hosts/


Faire un clique droit sur le raccourci d'HijackThis sur ton Bureau et choisir exécuter en tant qu'administrateur, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\venus.exe

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)



- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

- Quitte HijackThis


Si tu as des questions ou autre souci?


@++ :)
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Voilà qui est fait : les 3 lignes étaient toujours présentes.
Tu n'as aucun commentaire à faire concernant cette ligne que j'avais surlignée
Erreur lors des vérifications!: Virtumonde.sdn [71383 - $0C71C5B8] (Cannot open file "C:\Windows\System32\drivers\etc\hosts". Accès refusé) (Status) ???
Sinon, à part cela, je ne remarque rien de spécial sauf ces ralentissements, rares et épisodiques mais significatifs de ma machine, en fin de journée, comme si un process se mettait en route en arrière-plan qui semble me bouffer toutes les ressources de la machine.
Ce qui m'emm.... en fait, c'est que je ne sais pas me l'expliquer.
En tout cas, merci d'être venu voir !
À+
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut CCMclaude


Je vais vérifier le contenu du fichier hosts, utilise cjoint.com pour poster en lien ton fichier :
https://www.cjoint.com/

- Clique sur Parcourir et copier/coller ceci:
C:\WINDOWS\system32\drivers\etc\hosts

- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++ :)
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Merci dédétraqué !
Voici le lien demandé : Horreur: il y a du seks
:-\
NB : il me fallait les droits d'administrateur pour aller "ouvrir" le hosts : serait-ce pour cela que Spybot, exécuté sans les droits d'administrateur, m'a "livré" tous ces messages d'accès refusé ?

<EDIT>
Je viens de ré-exécuter Spybot S&D avec les droits d'administrateur et il ne m'a plus rien trouvé, absolument rien, nada !
Note qu'après j'ai vérifié son set-up et il ne vérifie pas le fichier Hosts mais peut-être cela n'a-t-il absolument aucun rapport !!!
À+
</EDIT>
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut CCMclaude



Je pense que cela a un rapport de ne pas avoir exécuter en mode administrateur, ton rapport ne contient rien de suspect, on peut quand même restaurer le fichier a l'origine si le demande et tu n'auras plus cette erreur en double cliquant dessus.


Pour la lenteur :
Avira AntiVir
AVG Anti-Virus Free
AVG Anti-Spyware
COMODO Internet Security
Malwarebytes
Windows Defender
Spybot

https://forum.malekal.com/viewtopic.php?t=4650&start=


@++ :)
Messages postés
24628
Date d'inscription
mardi 20 mai 2008
Statut
Contributeur
Dernière intervention
11 mai 2014
707
Merci pour ton aide dédétraqué.
Je vais passer en résolu.
Juste un truc en attendant de (re)lire le topic de malekal : existe-t-il un inconvénient significatif à réinitialiser le Host file ?
A+
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut CCMclaude


Rien à craindre avec la restauration du fichier Hosts, déjà Wot fais le même boulot pour le blocage des sites néfastes.


Voilà se que je te conseil :

Antivir
Malewarebytes
Comodo -- seulement le par feu (firewall)


Et tu vires tous le restes ++


@++ :)