Ecran bleu en français suite à troyen(s)

Ecran bleu en français suite à troyen(s) - Sécurité - Windows & Software

Marsh Posté le 17-06-2005 à 11:06:36    

Bonjour
 
Il y a quelques jours mon PC a chopé le smitfraud. Le temps que j'intervienne pour déconnecter l'ADSL, un tas de saletés ont été installées dessus.
Au début j'ai fait des manips sans trop savoir et je pense avoir supprimé le wp.exe puis plus tard j'ai trouvé comment restituer un fond d'écran normal.
 
Malheureusement il y a d'autres troyens qui se sont installés au passage (je posterai un log hijackthis dès que possible). Il m'est impossible de faire fonctionner mon anti-virus, adaware ou spybot jusqu'au bout, ni une simple recherche sous Windows (XP) car ça plante toujours avant la fin (la restauration automatique est désactivée). J'ai quand même réussi à éradiquer quelques saletés en "pas à pas" mais maintenant ce n'est même plus possible, y compris en mode sans échec.
 
Le plantage se traduit par l'affichage d'un écran bleu écrit en français. Il y est écrit beaucoup de choses:
- le système s'est arrêté pour éviter d'être endommagé
- si vous voyez apparaître un nom de pilote, désinstallez-le (il n'y en a pas)
- changez votre carte graphique
- mettez votre bios à jour et désactivez les options d'ombrage et de cache
Suivi d'un vidage de la mémoire physique avec un compteur qui s'incrémente (un fichier memory dump assez gros est d'ailleurs créé sous \windows).  
 
D'ailleurs au lancement en mode sans échec je vois toujours savedump.exe activé systématiquement et je l'avais pris pour un virus au départ. Il y a aussi userinit.exe, quid de celui-là ?
 
Voici la liste des troyens restants (et peut-être d'autres) : n-case, haxdoor-h, effective band toolbar, dyfuca + version internet optimizer, isearch tech power scan & side find, mysoft.
 
Si je lance windows en mode normal, adaware et spybot bouclent sur des tentatives de modifications de clés pour ajouter avpx32.exe (ça je sais que c'est le haxdoor) et dumprep, pour celui-là je n'ai pas compris puisqu'il semble être un processus normal du système.
 
Bref si quelqu'un peut m'aider à comprendre le pourquoi de cet écran bleu, je pourrais peut-être parvenir enfin à faire tourner mes anti-spywares jusqu'au bout. Avez-vous déjà rencontré ça ? Dois-je réparer le système à partir du CD d'install ? Est-ce un autre virus ?
 
Merci de votre aide !
 
 

Reply

Marsh Posté le 17-06-2005 à 11:06:36   

Reply

Marsh Posté le 17-06-2005 à 11:22:38    

Qu'est ce qu'ils ont fait encore les habitants de Troyes ?  :whistle:

Reply

Marsh Posté le 17-06-2005 à 11:37:08    

Maintenant qu'on a eu la réponse intelligente, pourrais-je voir passer une réponse idiote...

Reply

Marsh Posté le 17-06-2005 à 11:55:30    

salut
si tu as suppr des truc au hazars lol
tenet une reparation de xp tu met le cd dans le lecteur tu redemarre il vas booter dessus et tu clik une premieres foix sur reinstalation et a la page suivante sur R reparation
il faurat ensuite refaire tes mises a jour windows


---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 17-06-2005 à 12:07:50    

Poste un rapport Hijackthis

Reply

Marsh Posté le 17-06-2005 à 14:52:57    

Non, pas au hasard. Tout ce que j'ai supprimé sous Program Files était à 100% du trojan, sûr et certain. Sous Windows j'ai supprimé un programme dont la date était du jour où j'ai eu le pépin, je ne sais plus comment j'ai trouvé son nom et il me semble bien que c'était le wp.exe c.à.d le programme du smitfraud. J'ai renommé un certain nombre de fichiers sysxxxx.exe avec xxxx = n° sur 4 chiffres, tous créés aussi ce jour et qui me semblaient suspects peut-être à tort car IE6 ne se lance plus et en mode normal il y a des erreurs au lancement du système. En tout cas ils ne sont pas perdus.
 
Jusqu'ici je n'avais pas trop eu de temps pour faire toutes les manips, à midi j'ai relançé en mode sans échec et login administrateur et là adaware et spybot se sont exécutés sans planter et ont détecté les virus, malheureusement quelque chose les réinstalle. Avec mon login ça continue de planter.
 
Pas eu le temps non plus de scanner avec mon AV, je le ferai ce soir. La réparation est prévue également.
 
Voici mon log hijackthis. Je n'ai toujours pas réussi à trouver avpx32.exe et dll alors qu'ils sont exécutés. Ils doivent être planqués d'une façon ou d'une autre. Il me semble qu'il y a d'autres belles sal***ries mais je vous laisse voir:
 
Logfile of HijackThis v1.99.1
Scan saved at 13:40:10, on 17/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Azertye\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\DeamonTools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Ad-watch] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [UStorag] c:\program files\u-storage tools\ustorage.exe sys_auto_run C:\Program Files\U-Storage Tools
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\avpx32.exe !!
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6316773277
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: NTvsx - C:\WINDOWS\SYSTEM32\NTvsx.dll
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - F:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - F:\WINDOWS\system32\sessmgr.exe (file missing)
 
 
 
 
 

Reply

Marsh Posté le 18-06-2005 à 00:18:22    

salut
 
 
 
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
       (ici)               http://www.florensac-chasse-trap.com/   section virus
et aussi ceci
CleanUp312.exe(3)
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
 
a2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
 
 
----------------
desactive ta restauration systeme  
pour ça tu fais clic droit sur poste de travail  
propriété tu clique sur onglet restauration système  
tu coche la case désactiver la restauration et applique  
------------  
 
demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8  
des le debut de l allumage du pc sans t arreter  
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec  
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------  
 
 
assure toi de ceci  
Affiche tous les fichiers et dossiers :  
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage  
Cocher afficher les dossiers cacher  
 
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"  
 
Décocher masquer les extensions dont le type est connu  
Puis fais «Ok» pour valider les changements.  
 
Et appliquer  
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur  
utilise ceci pour le faire  
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
 
   
--------------------
relance hijack coche ces lignes et  ensuite clik sur fix
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\userinit.exe,  
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\avpx32.exe !!  
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 6316773277  
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll  
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe  
 
 
 
----------------------
recherche et suppr ceci
attention seulement les fichiers  
C:\WINDOWS\system32\avpx32.exe
C:\WINDOWS\SYSTEM32\avpx32.dll
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe  
 
 
 
 
---------------
clik sur Démarrer->exécuter->tape: services.msc
 
Double-clique: Service: Boonty Games - BOONTY
Règle-le sur "Arrêté" et "Désactivé".
 
-------------------------
 
 
passe  adaware et vire tous se qu il trouve    
----------  
passe spy boot et vire tous se qu il trouvent
-------------
 
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack  
 
et precise ou en sont tes soucis
 
 
--


Message édité par balltrap34 le 18-06-2005 à 00:18:53

---------------
la chasse et le balltrap une vrai passion http://www.florensac-chasse-trap.com/
Reply

Marsh Posté le 20-06-2005 à 10:00:28    

Bonjour
 
Ce week-end j'ai fait pas mal de manips... Le smitfraud est éradiqué depuis un moment mais j'avais d'autres saletés que je pense avoir toutes virées, sauf le avpx32. Je donne ma démarche car ça peut intéresser d'autres personnes vu que nulle part sur google je n'ai trouvé de véritable méthode pour se débarrasser de ce truc:
 
- Le avpx32 (il existe aussi avpx64) est le virus haxdoor. C'est un vrai pot de colle. Il crée un nombre d'entrées conséquent dans le base de registres et bien entendu se lance au boot système.
- même en mode sans échec avec utilisation de killbox, etc, la clé est systématiquement réinstallée dans le démarrage (HKLM/Software/Microsoft/Windows/Currentversion/Run)
- le site de hijackthis ne connait PAS avpx32.exe
- Il est reconnu par spybot qui nettoie des entrées mais cela ne suffit pas car c'est un virus de boot
- mon anti-virus et a2 disent que tout va bien !
- Le seul moyen que j'ai trouvé pour neutraliser le virus a été de supprimer une autre librairie. En effet j'ai analysé à la main chacune des lignes produites par le hijack. Tout est ok (même boonty), seules ces 2 là correspondent à des virus:
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll  
O20 - Winlogon Notify: NTvsx - C:\WINDOWS\SYSTEM32\NTvsx.dll
 
Ce n'est qu'en détruisant NTvsx.dll (AUCUNE info trouvée sur le net à ce sujet !) et les entrées de registre correspondant au notify que j'ai pu stopper le processus. Tout cela avec des passages répétés de adaware, spybot et ccleaner et en mode sans échec. Il m'est arrivé de tout nettoyer en tant qu'administrateur pour retrouver des clés de virus sous ma connexion perso !
 
Avant destruction le virus faisait les manips suivantes dans la base de registre:
1 - créer des entrées avpx32 et avpx64 contenant un ensemble de clés
2 - créer des entrées LEGACY_AVPX32/64 (si quelqu'un peut m'expliquer à quoi correspondent les entrées LEGACY_xxx car il y en a plein)
3 - se mettre en [secboot] dans le Run
Après destruction de NTvsx.dll seule l'étape 1 n'est plus reproduite. En mode sans échec, l'étape 3 est également annihilée.
 
Mais cela ne suffit pas car avpx32 reste dans le secteur de boot et dès que je me connecte à internet (en 56Ko, plus prudent) il lance un téléchargement impossible à supprimer. Les entrées LEGACY_avpx sont protégées et il est strictement impossible de les détruire.
 
Voici ma situation à ce jour:
- avpx32 planqué dans le secteur de boot (il est lançé depuis c:\windows\system32 mais on ne l'y trouve jamais, par contre NTvsx.dll s'y trouvait bien). Killbox le détruit, mais il faut réitérer la manip à chaque démarrage.
- message d'erreur disant qu'en raison d'un problème inconnu il est impossible d'accéder aux informations du parefeu, donc toujours impossible de le réactiver
- certains contrôles ocx ne marchent plus (je dois réinstaller ccleaner pour pouvoir le faire fonctionner)
 
Je suis preneur de conseils avisés pour curer le secteur de boot...

Reply

Marsh Posté le 20-06-2005 à 11:55:36    

Regarde sur ces 2 sites les moyens employés en espérant que ça t'aide  
 
How to remove the Smitfraud
http://www.bleepingcomputer.com/fo [...] 17258.html
Trojan-Spy.HTML.Smitfraud.c
http://assiste.free.fr/assiste.com [...] raud.c.php
 

Reply

Marsh Posté le 20-06-2005 à 14:03:32    

Merci mais là il ne s'agit pas du smitfraud mais du haxdoor, bien plus difficile à éradiquer. Le smitfraud en principe je l'ai viré "manuellement". Mais je vais regarder au cas où j'aurais oublié un truc...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed