Infecté par Win32:AgentKCD / Hacktool.Rootkit

Kopernik -  
 Kopernik -
Bonjour,

Je suis infecté par un virus qu'avast détecte, et nomme "Win32:AgentKCD". Il propose de l'enlever, mais sans résultat : dès que je rallume l'ordinateur, le fichier est de nouveau là.
J'ai fait un scan symantec online, et lui l'appelle "hacktool.Rootkit"... j'ai essayé la méthode de désinfection proposée par symantec sur leur site (avec réinitilisation des clef de registre affectées), mais pas de résulats.

Alors voilà, je lance la procédure suivante, que j'ai trouvé sur ce forum:

"Si vous avez un doute quant à la bonne santé de votre PC, cela peut être la manifestation des prodromes d'une quelconque infection...

Dans le dessein de gagner en vitesse et en efficacité, je vous expose une méthode préliminaire qu'il faut impérativement effectuer intégralement et dans l'ordre !

Note : Pour effectuer ces opérations, il est inutile de désactiver ou de désinstaller le(s) système(s) de protection (Antivirus, Pare-feu ou autres applications)

------------------------------------------------------------------- ----------------------------------------

1/ Télécharger et scanner son PC avec Ewido Security Suite :
https://www.avg.com/en-ww/free-antivirus-download
Copier/coller le rapport entier sur le forum.

Regarder la démo d'utilisation :
http://perso.wanadoo.fr/entraide-hijackthis/Ewido/
(Merci à mOe pour cette réalisation)

2/ Scanner son PC avec cet antivirus en ligne (sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Cliquer sur "I Agree" et scanner tout le PC.
Penser à accepter l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
Copier/coller le rapport entier sur le forum.

3/ Télécharger HijackThis :
http://www.merijn.org/files/hijackthis.zip
- L'installer dans son propre dossier.
Par exemple, C:\HijackThis
- Choisir l'option "do a scan and a logfile", attendre que le log se génère puis copier et coller le rapport sur le forum.

Regarder la démo d'utilisation :
http://pageperso.aol.fr/balltrap34/demohijack.htm
(Merci à balltrap34 pour cette réalisation)

-------------------------------------------------------------------- ---------------------------------------

Une fois toutes ces manipulations effectuées, votre PC devrait être d'ores et déjà moins infecté.

Néanmoins, afin de s'en assurer, je vous invite à poster les 3 rapports sur le Forum virus/sécurité et moi-même ou un autre membre vous guidera pour la suite. "
Configuration: Windows XP
Internet Explorer 6.0

4 réponses

  1. Kopernik
     
    Bonjour,

    Voici déjà le rapport d'Ewido:

    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 13:00:37 4/11/2007

    + Résultat de l'analyse:

    C:\29.tmp -> Dropper.Small.bbs : Nettoyé et sauvegardé (mise en quarantaine).
    [1656] VM_01A70000 -> Proxy.Small.ck : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
    C:\Documents and Settings\Clémence Ringlet\Cookies\clémence ringlet@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\WINDOWS\SYSTEM32\DefLib.sys -> Trojan.Agent.asu : Nettoyé et sauvegardé (mise en quarantaine).

    Fin du rapport
    0
  2. Kopernik
     
    scan de bi defender (il semble que l'antivirus n'arrive pas à tout enlever) :

    BitDefender Online Scanner

    Scan report generated at: Sun, Nov 04, 2007 - 14:11:14

    Scan path: A:\;C:\;D:\;

    Statistics

    Time
    01:05:25

    Files
    185865

    Folders
    8044

    Boot Sectors
    3

    Archives
    4570

    Packed Files
    7235

    Results

    Identified Viruses
    2

    Infected Files
    2

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    1

    Engines Info

    Virus Definitions
    860209

    Engine build
    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Infected with: Trojan.Proxy.Agent.AZP

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Disinfection failed

    C:\Documents and Settings\Clémence Ringlet\Local Settings\Temp\winlogon.exe
    Delete failed

    C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
    Infected with: Trojan.Agent.ABGK

    C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
    Disinfection failed

    C:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP1\A0001063.sys
    Deleted
    0
  3. Kopernik
     
    et enfin, le rapport de hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:24:10, on 4/11/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Dell\AccessDirect\dadapp.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\OLITEC\PC Card 802.11g OLITEC \Installer\Winxp\olitec.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ccapp.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2003\bin\HiPL2002popup.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
    O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\CLMENC~1\LOCALS~1\Temp\winlogon.exe
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: olitec.lnk = ?
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper Home Edition\DKService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  4. Kopernik
     
    et bien voilà,

    j'ai fait toutes les étapes, mais le preoblème n'est toujours pas résolu...
    A partir de là, j'ai besoin de l'aide de gens plus balèzes en informatique
    0