Infection PC Vista avec TrojanDownloader.XS

Question

Bonjour,
Mon PC est infecté par ce qui semble être le TrojanDownloader.XS. Des messages apparaissent régulièrement (en reprenant plus ou moins la signalétique de Windows) et renvoient sur un site commercial. Cela provoque également une ouverture intempestive d'IExplorer, un ralentissement de Firefox (Je mets 3heures pour écrire ce messages)...
J'ai suivi les étapes de la Méthode préliminaire de désinfection qui se trouve sur le site (http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr). Voici les résultats :

- CCleaner ne parvient pas à supprimer 3 Fichiers "ActiveX"
- 49 Cookies ont été supprimés par AVG Anti-Spyware
- J'ai fait un scan avec BitDefender (pas en ligne par contre, à cause de l'instabilité d'Explorer, je l'ai installé puis supprimé après le scan). Il n'a rien trouvé.
Voici le rapport :
BitDefender Log File !!!!!
Product	:	BitDefender Total Security 2008
Version	:	BitDefender UIScanner v.11
Log date	:	00:12:25 12/04/2008
Log path	:	C:\ProgramData\BitDefender\Desktop\Profiles\Logs\full_scan\1207951945_1_00.xml
Scan Paths: 
Path0000:	C:\
Path0001:	D:\
Path0002:	J:\
Path0003:	L:\


Scan Options: 
Scan for viruses	:	Yes
Scan for adware	:	Yes
Scan for spyware	:	Yes
Scan for applications	:	Yes
Scan for dialers	:	Yes
Scan for rootkits	:	Yes


Target selection options: 
Scan registry keys	:	Yes
Scan cookies	:	Yes
Scan boot sectors	:	Yes
Scan memory processes	:	Yes
Scan archives	:	No
Scan runtime packers	:	Yes
Scan emails	:	Yes
Scan all files	:	Yes
Heuristic Scan	:	Yes
Scanned extensions	:	
Excluded extensions	:	


Target Processing 
Default action for infected objects	:	Disinfect
Default action for suspicious objects	:	None
Default action for hidden objects	:	None


Scan engines summary 
Number of virus signatures	:	1139681
Archive plugins	:	41
Email plugins	:	6
Scan plugins	:	12
Archive plugins	:	41
System plugins	:	4
Unpack plugins	:	7


Overall scan summary 
Scanned items	:	111281
Infected items	:	0
Suspicious items	:	0
Resolved items	:	0
Individual viruses found	:	0
Scanned directories	:	17675
Scanned boot sectors	:	9
Scanned archives	:	437
Input-output errors	:	55
Scan time	:	00:00:34:54
Files per second	:	52


Scanned processes summary 
Scanned	:	68
Infected	:	0


Scanned registry keys summary 
Scanned	:	388
Infected	:	0


Scanned cookies summary 
Scanned	:	0
Infected	:	0


Remaining issues: 
Object Name	Threat Name	Final Status


Resolved issues: 
Object Name	Threat Name	Final Status


Objects that were not scanned: 
Object Name	Reason	Final Status

----
- Enfin, j'ai téléchargé HijackThis dont voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:36:10, on 12/04/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\ProgramData\agnouhks\vixulcdg.exe
C:\ProgramData
ufazqtoapsjwla.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32undll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\CALUOR~1\AppData\Local\Temp\awtsTJbB.dll,#1
O4 - HKCU\..\Run: [agnouhks] C:\ProgramData\agnouhks\vixulcdg.exe
O4 - HKCU\..\Run: [PgzEmgaHyC] C:\ProgramData
ufazqtoapsjwla.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CALUOR~1\AppData\Local\Temp\hgGwVNgG.dll,c
O4 - HKCU\..\Run: [fccac31c] rundll32.exe "C:\Users\CALUOR~1\AppData\Local\Temp\aktjyvqm.dll",b
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vince
O17 - HKLM\Software\..\Telephony: DomainName = Vince
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Vince
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Saint-bol · Answer

Le problème est résolu grâce au scan HijackThis et un bilan sur http://www.hijackthis.de/fr#anl qui m'a permis de localiser les problèmes (en gras les vrais méchants et /ou les difficiles à supprimer) :
- C:\ProgramData\agnouhks\vixulcdg.exe
- C:\ProgramData
ufazqtoapsjwla.exe 
- O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
- O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
- O4 - HKCU\..\Run: [agnouhks] C:\ProgramData\agnouhks\vixulcdg.exe
- O4 - HKCU\..\Run: [PgzEmgaHyC] C:\ProgramData
ufazqtoapsjwla.exe
- O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CALUOR~1\AppData\Local\Temp\hgGwVNgG.dll,c 
- O4 - HKCU\..\Run: [fccac31c] rundll32.exe "C:\Users\CALUOR~1\AppData\Local\Temp\aktjyvqm.dll",b
- O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

Le cmds - hgGwVNgG.dll a nécessité un démarrage en mode sans échec (F8 au démarrage), puis une recherche et enfin "supprimer", car il s'était intégré au démarrage de Windows.

Infection PC Vista avec TrojanDownloader.XS

1 réponse

Votre réponse

Newsletters