Infecté par Trojan Pakes trouvé dans mémoire

Fermé
hounapou - 1 mai 2006 à 12:16
hounapou Messages postés 36 Date d'inscription lundi 1 mai 2006 Statut Membre Dernière intervention 4 mai 2006 - 4 mai 2006 à 15:25
Bonjour,

Je suis infecté depuis au moins deux jours par un troyen : Trojan.Pakes que le logiciel Ewido localise en scannant ma mémoire, un ou deux à des emplacement variables.

J'ai regardé l'historique du forum, suivi quelques conseils, en vain malgré des heures d'efforts certainement maladroits.

Aussi je vous demande de l'aide pour éradiquer ce troyen, si cela est posssible sans réinstaller tous mes logiciels...

J'utilise le firewall : soft perfect personnal firewall ( mal configuré je pense ) et l'antivirus AVG free edition.
J'ai aussi téléchargé suite à la lecture des posts : a-squared, Spybot et fait une analyse partielle en ligne avec Bit Defender qui n'a rien trouvé dans C:\Windows

Voici les rapports ewido et HijackThis réalisés suivant les conseils postés à d'autres victimes de ce troyen :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:49:11, 01/05/2006
+ Somme de contrôle: 8B69C001

+ Résultats du scan:

[1432] VM_018A0000 -> Trojan.Pakes : Erreur durant le nettoyage


::Fin du rapport


note perso : l'adresse mémoire est souventproche : ex: [1440]


---------------------------------------------------------
ewido anti-malware - Rapport des processus
---------------------------------------------------------

+ Créé le: 12:01:47, 01/05/2006
+ Somme de contrôle: C501AB06

0: System Process
4: System Process
192: C:\WINDOWS\system32\wdfmgr.exe
436: C:\Program Files\ewido anti-malware\SecuritySuite.exe
492: \SystemRoot\System32\smss.exe
520: C:\Program Files\Internet Explorer\iexplore.exe
540: \??\C:\WINDOWS\system32\csrss.exe
572: \??\C:\WINDOWS\system32\winlogon.exe
616: C:\WINDOWS\system32\services.exe
628: C:\WINDOWS\system32\lsass.exe
780: C:\WINDOWS\system32\Ati2evxx.exe
800: C:\WINDOWS\system32\svchost.exe
864: C:\WINDOWS\system32\svchost.exe
880: C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
948: C:\WINDOWS\System32\svchost.exe
1028: C:\WINDOWS\system32\svchost.exe
1116: C:\WINDOWS\system32\svchost.exe
1320: C:\WINDOWS\system32\spoolsv.exe
1340: C:\WINDOWS\system32\svchost.exe
1368: C:\WINDOWS\system32\Ati2evxx.exe
1432: C:\WINDOWS\Explorer.EXE
1532: C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
1560: C:\Program Files\ewido anti-malware\ewidoguard.exe
1568: C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
1652: C:\Program Files\ewido anti-malware\ewidoctrl.exe
1668: C:\WINDOWS\SOUNDMAN.EXE
1680: C:\WINDOWS\ALCWZRD.EXE
1712: C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
1720: C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
1728: C:\Apps\Powercinema\PCMService.exe
1744: C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
1752: C:\Program Files\QuickTime\qttask.exe
1772: C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
1820: C:\Program Files\SoftPerfect Personal Firewall\fw.exe
1912: C:\WINDOWS\system32\slserv.exe
1940: C:\Program Files\FinePixViewer\QuickDCF.exe
1952: C:\Program Files\KeirNet\K9\K9.exe
2296: C:\WINDOWS\System32\alg.exe
2716: C:\WINDOWS\system32\NOTEPAD.EXE
3184: C:\WINDOWS\system32\wbem\wmiprvse.exe
4068: C:\Program Files\Outlook Express\msimn.exe



Logfile of HijackThis v1.99.1
Scan saved at 12:03:01, on 01/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\SoftPerfect Personal Firewall\fw.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\KeirNet\K9\K9.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Program Files\SoftPerfect Personal Firewall\fw.exe
O4 - HKLM\..\Run: [dmcov.exe] C:\WINDOWS\system32\dmcov.exe
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Launch K9.lnk = C:\Program Files\KeirNet\K9\K9.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{322BD82A-5C75-4AB3-83F5-5D6E892C93E8}: NameServer = 85.255.115.42 85.255.112.114
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

J'ai cru comprendre que la ligne 017 était une trace de la présence de Trojan.Pakes ? ai-je raison ?

J'espère avoir été complet.
D'avance merci de votre aide,
Hounapou
A voir également:

65 réponses

incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
2 mai 2006 à 23:39
0
hounapou Messages postés 36 Date d'inscription lundi 1 mai 2006 Statut Membre Dernière intervention 4 mai 2006
4 mai 2006 à 10:08
Bonjour Bernie et Incognito02,


Peut être la conclusion de tout cela et pour éventuellement vous aider à mieux comprendre ce qui est arrivé à mon PC.

Je pensais ( bêtement ?) qu'un antivirus était peu efficace contre les troyens et qu'il m'avertirait s'il trouvait quelque chose, mais les scans se font en arrière plan . Trop discrets...
J'avais règlé en "daily" mais oublié de cocher : "if missed, scan at start up."
Légèreté coupable...

AVG a fait ce matin un test complet de mon système et a retrouvé et supprimé :
Trojan.horse.Downloader.Generic.YHR
2 fois :
dans : C:\SystemVolumeInformation\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP36\A00039956.exe
et C:\SystemVolumeInformation\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP35\A00039920.exe

Je découvre que :
Le précédent scan complet du 29 avril avait retrouvé et effacé :
2 Trojan.horse.Downloader.Zlob.VN
dans la même archive :
C:\SystemVolumeInformation\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP23\A0002777.tlb

C:\SystemVolumeInformation\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP24\A0002818.tlb

Je n'arrive d'ailleurs pas à accèder à ce dossier ...

Des Trojan.horse.Downloader y sont detecté régulièrement depuis le 23 mars.

Ces informations vous auraient certainement aider à venir plus vite à bout de mon invité, et je m'excuse d'avoir oublié alors de faire un scan complet.


le 20 et le 21 , AVG avait localisé trois occurences de :
Java/ByteVerify dans
C:\Doc&Settings...\ApplicationData\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-35a88ac-35bfdd82.zip:\GetAccass.class

C:\Doc&Settings...\ApplicationData\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-35a88ac-35bfdd82.zip:\Installer.class

C:\Doc&Settings...\ApplicationData\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-35a88ac-35bfdd82.zip

Le dossier n'existe plus, je vais essayer de réinstaller Java correctement avec le fix approprié.

Enfin, fait qui confirme vos soupçons, lors des scans par AVG :
reading error sur
le 20 avril C:\Windows\System32\dmhdi.exe
le 21 avril C:\Windows\System32\dmeef.exe
le 29 avril C:\Windows\System32\dmpls.exe
aujourd'hui aucune erreur de lecture.

Preuve que votre intervention à tout deux a porté ses fruits...

Encore merci de votre aide efficace.
hounapou
0
hounapou Messages postés 36 Date d'inscription lundi 1 mai 2006 Statut Membre Dernière intervention 4 mai 2006
4 mai 2006 à 11:00
Rebonjour,

Un petit mail pour préciser que j'ai pu ouvrir le dossier :
C:\SystemVolumeInformation\

et lancer un scan ewido sans rien trouver.

Je sais maintenant que ce fichier sert pour les restaurations de Windows .
Je crois donc comprendre qu'en restaurant le système comme je l'avais fait récemment, j'ai pu faciliter la tâche de mon ukrainien...
et qu'à la restauration suivante, j'allais réinstaller les trojan dowloader...
Je suis heureusement désormais protègé par le tea timer de spybot..

Bonne journée,
hounapou
0
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
4 mai 2006 à 11:51
Bonjour Hounapou,

Si ton système est propre, crée un point de restauration.

Bonne journée.

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
hounapou Messages postés 36 Date d'inscription lundi 1 mai 2006 Statut Membre Dernière intervention 4 mai 2006
4 mai 2006 à 15:25
Bonjour Incognito,

Merci du conseil, c'est fait à l'instant.
Plus de déconnexions, davantage de vitesse, c'est redevenu agréable de surfer...


bonne fin d'après midi

hounapou
0