Trojan sur PC? Résolu/Fermé

Question

Bonjour,  

Je suis en train d'assainir un PC qui semblerait-il ait subi des attaques de trojan. 
Alertes de l'anti virus, freezes... Je n'y étais pas je ne peux pas savoir si c'était vraiment ça. 

J'ai sauvé les données, formaté la partition de données, installé/mis à jour/scanné avec l'antivirus. Installé un pare-feu potable, ce que ne possédait pas le PC avant, et nettoyé tout "à la main" (logiciels inutiles...) et avec CCleaner. 

Je voudrais être sure d'avoir un PC sain, et éviter la réinstallation lourde de windows. Sachant que les trojan sont difficiles à repérer j'ai fait un log hijack que voici. 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 15:45:21, on 04/12/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS.0\System32\smss.exe 
C:\WINDOWS.0\system32\winlogon.exe 
C:\WINDOWS.0\system32\services.exe 
C:\WINDOWS.0\system32\lsass.exe 
C:\WINDOWS.0\system32\Ati2evxx.exe 
C:\WINDOWS.0\system32\svchost.exe 
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe 
C:\WINDOWS.0\system32\svchost.exe 
C:\WINDOWS.0\system32\Ati2evxx.exe 
C:\WINDOWS.0\system32\spoolsv.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\WINDOWS.0\Explorer.EXE 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 
C:\WINDOWS.0\RTHDCPL.EXE 
C:\Program Files\Common Files\Java\Java Update\jusched.exe 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\WINDOWS.0\system32\ctfmon.exe 
C:\Program Files\RocketDock\RocketDock.exe 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 
C:\Program Files\SuperCopier2\SuperCopier2.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
C:\WINDOWS.0\system32\svchost.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\WINDOWS.0\System32\svchost.exe 
C:\WINDOWS.0\System32\svchost.exe 
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
C:\WINDOWS.0\system32\svchost.exe 
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 
C:\WINDOWS.0\System32\vssvc.exe 
C:\WINDOWS.0\system32\dllhost.exe 
C:\WINDOWS.0\system32\dllhost.exe 
C:\HiJackThis.exe 

O1 - Hosts: 188.165.202.62 L2authd.lineage2.com 
O1 - Hosts: 94.125.180.96 nprotect.lineage2.com 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) 
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll 
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYATgBKADMAMgAtAEcAMwBMAEEAQQAtAEEANAA4ADkAUgAtADkAVQBKAEsARgAtAEUASwBLADMAWAA"&"inst=NwA3AC0ANAAzADEAMAA4ADYANgAxADkALQBGAEwAKwA5AC0ARgA5AE0ANgArADEA"&"prod=90"&"ver=9.0.872 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe 
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe 
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user') 
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) 
O15 - Trusted Zone: *.canalplay.com 
O15 - Trusted Zone: *.canalplusactive.com 
O15 - Trusted Zone: *.canalplay.com (HKLM) 
O15 - Trusted Zone: *.canalplusactive.com (HKLM) 
O17 - HKLM\System\CCS\Services\Tcpip\..\{14086178-0814-437B-8509-49773CC41A7A}: NameServer = 156.154.70.25,156.154.71.25 
O17 - HKLM\System\CS1\Services\Tcpip\..\{14086178-0814-437B-8509-49773CC41A7A}: NameServer = 156.154.70.25,156.154.71.25 
O17 - HKLM\System\CS2\Services\Tcpip\..\{14086178-0814-437B-8509-49773CC41A7A}: NameServer = 156.154.70.25,156.154.71.25 
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe 
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe 
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 
O23 - Service: Service CANALPLAY - Canal+ Distribution - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe 

End of file - 7413 bytes 


Je voudrais savoir dans quel état c'est, (je ne sais pas du tout analyser les logs hijack), si c'est déjà sain, s'il faut faire quelque chose (quoi?) et si pour être être sure de ne pas avoir de problèmes, je devrais réinstaller tout. 

Je voudrais savoir aussi comment nettoyer efficacement les données récupérées sur un DD externe et potentiellement infectées (scan antivirus/antimalware suffirait?). 

(C'est le PC de ma mère absolument "inculte" en informatique et comme je ne suis plus à la maison j'aurais besoin qu'il n'y ai pas de soucis dessus!) 

Merci d'avance. 


Configuration: Configuration: MSI GX701 
Intel Core 2 Duo T5800 2GHz 
3Go RAM 
Nvidia Geforce 9600GT 512 Mo 
Realtek HD output

Utilisateur anonyme · Answer

Bonjour
Plus en être sûr, on va faire un examen plus complet, j'ai vu une ligne que je trouve louche

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône tournevis, et décoche la ligne 080
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Utilisateur anonyme · Answer

Merci pour ton aide

http://www.cijoint.fr/cjlink.php?file=cj201012/cijI39OK4k.txt

Utilisateur anonyme · Answer

Télécharge USBFix (de El Desaparecido, C_XX)  sur ton bureau
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html (miroir)

# Double clic sur UsbFix présent sur ton bureau, et clique sur 
exécuter pour lancer l'installation qui se fera automatiquement 

# Clique sur Suppression 

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me

# Clique sur Parcourir pour aller chercher le fichier 
compressé qui se trouve à la racine du disque

# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier

# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

Il ne m'a pas ouvert la page que tu disais, mais je te poste le lien du rapport!

http://www.cijoint.fr/cjlink.php?file=cj201012/cijOXMgTNc.txt

Utilisateur anonyme · Answer

Tu t'es trompé de rapport, poste moi celui d'USBFix s'il te plait, et puis évite d'ouvrir plusieurs sujets

Utilisateur anonyme · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cijIVaQpUH.txt 

Ce doit être le bon. 

L'autre post est pour mon PC perso, moins urgent puisque je l'ai toujours sous la main. Désolé pour la confusion.

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified 
O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exeADMAMgAtAEcAMwBMAEEAQQAtAEEANAA4ADkAUgAtADkAVQBKAEsARgAtAEUASwBLADMAWAA"&"inst=NwA3AC0ANAAzADEAMAA4ADYANgAxADkALQBGAEwAKwA5AC0ARgA5AE0ANgArADEA"&"prod=90"&"ver=9.0.872 
OPT:O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.exe    
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe    
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS.0\system32\ctfmon.exe    
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS.0\system32\CTFMON.exe    
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS.0\system32\CTFMON.exe    
OPT:O4 - HKUS\S-1-5-21-1644491937-1035525444-682003330-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS.0\system32\ctfmon.exe
 O41 - Driver:  (AmdPPM) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\System32\DRIVERS\AmdPPM.sys (.not file.)
O41 - Driver:  (avipbb) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\avipbb.sys (.not file.)
O41 - Driver:  (Cdrom) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\cdrom.sys (.not file.)
O41 - Driver:  (cmdGuard) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\cmdguard.sys (.not file.)
O41 - Driver:  (cmdHlp) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\cmdhlp.sys (.not file.)
O41 - Driver:  (i8042prt) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\i8042prt.sys (.not file.)
O41 - Driver:  (Imapi) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\imapi.sys (.not file.)
O41 - Driver:  (IPSec) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\ipsec.sys (.not file.)
O41 - Driver:  (Kbdclass) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\kbdclass.sys (.not file.)
O41 - Driver:  (Mouclass) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\mouclass.sys (.not file.)
O41 - Driver:  (MRxSmb) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\mrxsmb.sys (.not file.)
O41 - Driver:  (NetBIOS) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS
etbios.sys (.not file.)
O41 - Driver:  (NetBT) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS
etbt.sys (.not file.)
O41 - Driver:  (Processor) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\processr.sys (.not file.)
O41 - Driver:  (RasAcd) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERSasacd.sys (.not file.)
O41 - Driver:  (Rdbss) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERSdbss.sys (.not file.)
O41 - Driver: (RDPCDD) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\RDPCDD.sys (.not file.)
O41 - Driver:  (redbook) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERSedbook.sys (.not file.)
O41 - Driver:  (Serial) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\serial.sys (.not file.)
O41 - Driver:  (ssmdrv) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS\ssmdrv.sys (.not file.)
O41 - Driver:  (Tcpip) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS	cpip.sys (.not file.)
O41 - Driver:  (TermDD) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Windows\System32\DRIVERS	ermdd.sys (.not file.) 
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe    


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu 
as mis en mémoire
* Clique sur les boutons HOSTFix, et CTFFix
qui se trouvent à droite  
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse

Utilisateur anonyme · Answer

violation d'accès à l'adresse je sais pu quoi dans le .exe quand je clique sur CTFFix, normal? 

Et quand je clique sur l'autre ça enlève tout et le bouton "ok" disparait.

Serait-il possible de débloquer mon autre sujet, qui ne concerne pas la même machine?

Utilisateur anonyme · Answer

Laisse tomber ce bouton

Utilisateur anonyme · Answer

Avec HOSTFix il me met 

Rapport de ZHPFix 1.12.3225 par Nicolas Coolman, Update du 30/11/2010 
Fichier d'export Registre :  
Run by Admin at 04/12/2010 17:48:04 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Fichier HOSTS ========== 
Le fichier Hosts est sain 


========== Récapitulatif ========== 
1 : Fichier HOSTS 


End of the scan 

et plus de bouton "ok"

Utilisateur anonyme · Answer

Pourrais tu me refaire ZHPDiag