Spoolsv.exe + cftmon.exe

timeouras -  
 Utilisateur anonyme -
Bonjour,

J'ai été infecté hier par un du smitfraud ou quelque chose dans le genre, que spybot détecte mais n'arrive pas à virer de mon ordi.

Avast! m'indique également, sans réussir à éliminer le fichier incriminé, que :

Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\ftp34.dll" file.
Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\Tonio\ftp34.dll" file.

Comment m'en débarrasser ?

Je joins à ce message le log hijtackthis.

Merci d'avance pour votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 18:30:40, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\drivers\spools.exe
D:\Utilitaires\Desinfectant\hijackthis_199\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\pdbcopy.exe,
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Tonio\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Tonio\cftmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Schedule - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Configuration: Windows XP
Internet Explorer 6.0

6 réponses

  1. Utilisateur anonyme
     
    Bonjour,

    Mets à jour ta version d'Internet Explorer.
    > Windows Update.

    Et ta version d'hijackthis n'est plus à jour.
    Télécharge HijackThis
    http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    Installe le à la racine de ton disque dur

    Télécharge SDFix (créé par AndyManchesta)
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double-clique sur SDFix.exe
    Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre en mode sans échec (tapote F8 au démarrage)
    Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
    Double clique sur RunThis.bat pour lancer le script.
    Appuie sur Y pour commencer le processus de nettoyage.
    Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
    Copie/colle le contenu
    0
    1. timeouras
       
      Bonjour,

      et merci pour votre aide. Voilà le contenu du report :


      [b]SDFix: Version 1.182 [/b]
      Run by Tonio on 14/05/2008 at 22:04

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:

      [b]Name [/b]:
      Google Online Search Service

      [b]Path [/b]:
      C:\WINDOWS\system32\winlagons.exe -A

      Google Online Search Service - Deleted



      Restoring Windows Registry Values
      Restoring Windows Default Hosts File
      Restoring Default Schedule Service Path

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\Documents and Settings\LocalService\cftmon.exe - Deleted
      C:\Documents and Settings\Tonio\cftmon.exe - Deleted
      C:\WINDOWS\system32\drivers\spools.exe - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-05-14 22:21:44
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
      Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
      Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
      Fri 7 Sep 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

      [b]Finished![/b]
      0
  2. Utilisateur anonyme
     
    Télécharge HijackThis
    http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    Installe le à la racine de ton disque dur
    Lance HijackThis en double-cliquant sur l'icône HijackThis
    Clique sur Do a system Scan only and Save a Logfile
    Un rapport sera généré dans le bloc-note (le rapport est également situé ici : C:\hijackthis.log)
    Copie/colle le rapport dans ton prochain message.
    0
    1. timeouras
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:18:26, on 15/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
      C:\WINDOWS\system32\taskmgr.exe
      C:\Program Files\Mozilla Thunderbird\thunderbird.exe
      C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
      O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
      O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  3. Utilisateur anonyme
     
    Comment se comporte le PC ?

    Le rapport est clean.

    Dernière verif :
    BitDefender
    Fais un scan en ligne Bitdefender
    https://www.bitdefender.fr/
    Une fois sur le site clique sur le bouton BitDefender Scan Online
    Vois la démo de Balltrap34 ici si tu n'y arrives pas !
    http://pageperso.aol.fr/balltrap34/defender.htm
    Copie/colle le rapport final.
    0
    1. timeouras
       
      Le PC se comporte bien a priori.

      Je lance un scan bitdefender pendant ma pause de midi, et je poste le rapport au retour.

      Merci infiniment pour votre aide en tout cas.
      0
  4. Utilisateur anonyme
     
    Pas de soucis.

    A toute à l'heure.

    0
    1. timeouras
       
      Désolé, je n'ai pas pu le faire hier midi, et j'ai été pris l'après-midi.

      Voici le résultat du scan

      Le fichier "ftp34.dll" était encore là... Il a visiblement été effacé...

      Tout semble clean, merci beaucoup pour votre aide !



      BitDefender Online Scanner



      Scan report generated at: Thu, May 15, 2008 - 22:41:29





      Scan path: C:\;D:\;E:\;







      Statistics

      Time
      01:22:59

      Files
      211583

      Folders
      4401

      Boot Sectors
      3

      Archives
      26448

      Packed Files
      9033




      Results

      Identified Viruses
      1

      Infected Files
      1

      Suspect Files
      0

      Warnings
      0

      Disinfected
      0

      Deleted Files
      1




      Engines Info

      Virus Definitions
      1094033

      Engine build
      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Scan plugins
      14

      Archive plugins
      39

      Unpack plugins
      7

      E-mail plugins
      6

      System plugins
      1




      Scan Settings

      First Action
      Disinfect

      Second Action
      Delete

      Heuristics
      Yes

      Enable Warnings
      Yes

      Scanned Extensions
      *;

      Exclude Extensions


      Scan Emails
      Yes

      Scan Archives
      Yes

      Scan Packed
      Yes

      Scan Files
      Yes

      Scan Boot
      Yes




      Scanned File
      Status

      C:\Documents and Settings\LocalService\ftp34.dll
      Infected with: Trojan.Downloader.Small.AAOH

      C:\Documents and Settings\LocalService\ftp34.dll
      Disinfection failed

      C:\Documents and Settings\LocalService\ftp34.dll
      Deleted
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Le PC va mieux ?
    0
    1. timeouras
       
      Ma foi, ça a l'air d'aller !

      Merci beaucoup
      0
  7. Utilisateur anonyme
     
    Parfait alors !

    Je t'invite à lire ceci :
    *https://www.malekal.com/proteger-pc-virus-pirates/
    *http://forum.telecharger.01net.com/forum/­tils_gratuits_-334740/messages-1.html
    *Utilise Windows Update
    *Télécharge https://filehippo.com/windows/tuning-utilities/ tu l'installes et il te liste ce qu'il faut mettre à jour avec les liens correspondants.

    Télécharge ToolsCleaner (A.Rothstein) sur ton Bureau:
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    Clique sur Recherche et laisse le scan se terminer.
    Clique sur Suppression pour finaliser.
    Tu peux, si tu le souhaites, te servir des Options facultatives.
    Clique sur Quitter, pour que le rapport puisse se créer.
    Poste le rapport C:\TCleaner.txt

    ------------------------------------------------------------------------------------------­­-------------------------

    Ouvre le Menu Démarrer
    Clique-droit sur Poste de travail
    Clique sur Propriétés
    Positionne-toi dans l'onglet Restauration du système
    Coche Désactiver la restauration système
    Valide par Ok
    Redémarre
    Reproduis les manipulations 1 à 3
    Décoche Désactiver la restauration système
    Valide par Ok

    ------------------------------------------------------------------------------------------­­-------------------------

    Télécharge Ccleaner :
    https://www.ccleaner.com/ccleaner/download
    Clique sur le premier Download now > CCleaner v2.07.575 - Slim
    Installe Ccleaner.
    Nettoie Windows et la base de registre en suivant ce tuto :
    https://www.malekal.com/tutoriel-ccleaner/#mozTocId223895

    ------------------------------------------------------------------------------------------­­-------------------------

    Désinstalle Avast!
    https://www.avast.com/fr-fr/uninstall-utility

    Installe Antivir
    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html
    https://www.malekal.com/avira-free-security-antivirus-gratuit/
    Paramètre le
    https://www.astucesinternet.com/modules/news/article.php?storyid=253
    Quand Antivir se met à jour, il affiche une popup. Voilà comment la supprimer :
    https://forum.malekal.com/viewtopic.php?p=45326

    Antivir VS Avast!
    http://forum.malekal.com/ftopic3528.php
    0