infecté par Win32:AgentKCD / Hacktool.Rootkit Fermé

Question

Bonjour, 

Je suis infecté par un virus qu'avast détecte, et nomme "Win32:AgentKCD". Il propose de l'enlever, mais sans résultat : dès que je rallume l'ordinateur, le fichier est de nouveau là.
J'ai fait un scan symantec online, et lui l'appelle "hacktool.Rootkit"... j'ai essayé la méthode de désinfection proposée par symantec sur leur site (avec réinitilisation des clef de registre affectées), mais pas de résulats.

Alors voilà, je lance la procédure suivante, que j'ai trouvé sur ce forum:



"Si vous avez un doute quant à la bonne santé de votre PC, cela peut être la manifestation des prodromes d'une quelconque infection... 

Dans le dessein de gagner en vitesse et en efficacité, je vous expose une méthode préliminaire qu'il faut impérativement effectuer intégralement et dans l'ordre ! 

Note : Pour effectuer ces opérations, il est inutile de désactiver ou de désinstaller le(s) système(s) de protection (Antivirus, Pare-feu ou autres applications) 

------------------------------------------------------------------- ---------------------------------------- 

1/ Télécharger et scanner son PC avec Ewido Security Suite : 
https://www.avg.com/en-ww/free-antivirus-download 
Copier/coller le rapport entier sur le forum. 

Regarder la démo d'utilisation : 
http://perso.wanadoo.fr/entraide-hijackthis/Ewido/ 
(Merci à mOe pour cette réalisation) 

2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) : 
https://www.bitdefender.com/toolbox/ 
Cliquer sur "I Agree" et scanner tout le PC. 
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut). 
Copier/coller le rapport entier sur le forum. 

3/ Télécharger HijackThis : 
http://www.merijn.org/files/hijackthis.zip 
- L'installer dans son propre dossier. 
Par exemple, C:\HijackThis 
- Choisir l'option "do a scan and a logfile", attendre que le log se génère puis copier et coller le rapport sur le forum. 

Regarder la démo d'utilisation : 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
(Merci à balltrap34 pour cette réalisation) 

-------------------------------------------------------------------- --------------------------------------- 

Une fois toutes ces manipulations effectuées, votre PC devrait être d'ores et déjà moins infecté. 

Néanmoins, afin de s'en assurer, je vous invite à poster les 3 rapports sur le Forum virus/sécurité et moi-même ou un autre membre vous guidera pour la suite. "

Kopernik · Answer

Bonjour, 

Voici déjà le rapport d'Ewido:


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	13:00:37 4/11/2007

 + Résultat de l'analyse:	



C:\29.tmp -> Dropper.Small.bbs : Nettoyé et sauvegardé (mise en quarantaine).
[1656] VM_01A70000 -> Proxy.Small.ck : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\WINDOWS\SYSTEM32\DefLib.sys -> Trojan.Agent.asu : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Kopernik · Answer

scan de bi defender (il semble que l'antivirus n'arrive pas à tout enlever) :


BitDefender Online Scanner
  
  
 
Scan report generated at: Sun, Nov 04, 2007 - 14:11:14
 
 
  
  
 
Scan path: A:\;C:\;D:\;
  
  
 
 
  
  
 
Statistics
 
Time
 01:05:25
 
Files
 185865
 
Folders
 8044
 
Boot Sectors
 3
 
Archives
 4570
 
Packed Files
 7235
 
  
  
 
Results
 
Identified Viruses 
 2
 
Infected Files 
 2
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 1
 
  
  
 
Engines Info
 
Virus Definitions
 860209
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
 Infected with: Trojan.Proxy.Agent.AZP
 
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
 Disinfection failed
 
C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
 Delete failed
 
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
 Infected with: Trojan.Agent.ABGK
 
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
 Disinfection failed
 
C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
 Deleted

Kopernik · Answer

et enfin, le rapport de hijackthis:



Logfile of HijackThis v1.99.1
Scan saved at 14:24:10, on 4/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\OLITEC\PC Card 802.11g OLITEC \Installer\Winxp\olitec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ccapp.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: olitec.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Kopernik · Answer

et bien voilà,

j'ai fait toutes les étapes, mais le preoblème n'est toujours pas résolu...
A partir de là, j'ai besoin de l'aide de gens plus balèzes en informatique

Infecté par Win32:AgentKCD / Hacktool.Rootkit

4 réponses

Discussions similaires