Virus Coquin ? - Nouvelle bestiole

Sebastouchka · Mai 8, 2007, 11:52

Bonjour à tous,
Depuis plusieurs jours, je crains d’avoir mis la patte sur une nouvelle cochonnerie dont je n’arrive plus à me débarasser.
Les problèmes visibles : j’ai des pops ups envahissant qui s’ouvrent dés que je surfe malgré mozilla et ma google toolbar. Je pense à un virus publicitaire mais avast ne voit rien. J’ai installé Spybot et le Tea Timer me signale un fichier cherchant à modifier la base de registre, un certain edzewyzm.exe. Je l’ai détecté avec le firewall kerio et mis en interdiction mais mes fenetres pops ups s’ouvrent toujours et Tea timer se met en boucle en me signalant une alerte modification de la base de registre par ce fichier…
Et sur le net, impossible de trouver ce que c’est que ce fichier. En plus, il n’est pas tout seul à trainer sur mon PC, j’ai aussi un certain “Jushed.exe” et “is-isui9” qui n’étaient pas là il y a deux jours.
Pouvez vous m’aider SVP ?

Torque_Roll · Mai 8, 2007, 12:03

:hello:
commence par regarder si c’est pas du à un rootkit, ça ne m’étonnerai pas
Il y a des virus rootkits spécialisés pour afficher ces pubs. Les habituels antivirus/antispyware ne detectent pas toujours la vraie source de l’infection.

Telecharge Blacklight (c’est un detecteur performant special virus caché,des rootkits) :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier “download” en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (un suite de lettres aléatoires), clique sur “rename” et redemarre ton pc.

Ensuite jushed.exe, ça doit etre les mises à jour automatiques de JAVA.

edit : inutile de rechercher le nom de ton fichier, c’est une suite aléatoire de caractère, elle change constament d’un pc à l’autre.

Sebastouchka · Mai 8, 2007, 12:25

Oki, merci du tuyau, ça a l’air d’aller un peu mieux effectivement. Il a détecté et rename les fichiers. D’autres questions qui me brûlent les lèvres : Il faut que je fasses une chose en plus (genre les effacer) ; comment éviter de rattraper ces petites choses ; et il ne s’agit pas de Jushed, effectivement mise à jour de JAVA que je connais, mais d’un certain JUSCHED.EXE qui semble n’avoir rien à voir avec JAVA…

ordiclic · Mai 8, 2007, 12:34

Ca me fait beaucoup penser à une cochonnerie de m***e de smitfraud-toolbar.
Télécharge smitfraudfix, mets à jour, fais un nettoyage et fais un scan avec spybot.
Telecharge aussi vundofix car smitfraud est souvent avec virtumundo.
Bon courage, et EXCELLENTE idée d’avoir utilisé le teatimer de spybot! :super: :super:

Torque_Roll · Mai 8, 2007, 12:50

C’est pas obligatoire, mais tu peux aller effacer ces fichiers (il sont visibles maintenant) rends toi dans les chemins que t’as indiqué Blacklight, qui doit être :
C\WINDOWS\System32\

Ensuite passe un coup de nettoyeur de registre avec Ccleaner par exemple.

Pour eviter de rattraper ce machin, evite d’installer des programmes gratuits que tu ne connais pas et que tu n’as jamais entendu parlé sur les sites serieux, car ton infection a surement été installé à ce moment.

(pour JUSCHED.EXE, desolé j’ai pas fais attention)

Sebastouchka · Mai 8, 2007, 1:20

Merci pour tous, et t’excuses pas Torque, c’est moi le looser dans la salle qui choppe des saloperies en laissant sa copine DL n’importe quoi.
Pour le JUSCHED, j’y attire votre attention parce qu’il me parait pas trés net ce prog mais rien ne me signale comme dangereux.
Sinon, j’ai fais les manips avec Smit Fraud et Fsbl, je n’ai plus mes fenetres pop up qui me harcèlent, mais ce fameux fichier traine toujours sur mon PC : Tea timer me le signale à chaque lancement et il apparait à chaque nettoyage du registre avec Ccleaner. Je l’efface et il revient. C’est pire qu’un morpion ce truc.

westernunion · Mai 8, 2007, 1:22

:hello: à tous

C’est peut être bien de préconiser Blacklight systématiquement mais 1 log Hijackthis avant c’est plus judicieux pour bien lister tous les processus actifs ; supprimer l’arbre sans la forêt, on peut avoir l’illusion de retrouver un pc clean et il peut rester d’autres éléments nocifs en sourdine (exemple, des DNS piratés ne seront ni repérés ni corrigés par BlackLight, or souvent des pubs imtempestives sont dûes à des redirections)

comme quoi, ça ne marche pas à tous les coups …
http://www.clubic.com/forum/index.php?show…0&#entry8757752

westernunion · Mai 8, 2007, 1:41

jushed.exe or jushed : Sun Java Scheduler <-- c’est Java Updater/Mise à jour

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe <-- le programme "en lui-même"

Note que pour effectuer des modifications ou des suppressions, tu dois désactiver le TeaTimer de Spybot avant :oui:

Torque_Roll · Mai 8, 2007, 1:50

Le log HijackThis n’affiche pas toujours l’entrée de ce rootkit, que cette entrée soit presente ou pas, le virus est toujours actif. Et comme c’est un rootkit, ce virus ne sera pas visible dans les processus actifs (logique).
Blacklight marche pas à tout les coups mais marche à 90 %. C’est toujours la même chose depuis plusieurs semaines avec ce type de pub. Je ne vais pas conseillé ce qui a deja été fait pas l’auteur du topic (utilisation d’un antivirus et anti-spyware)

Sebastouchka · Mai 8, 2007, 1:52

Logfile of HijackThis v1.99.1
Scan saved at 13:52:13, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Sebastien\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [edzewyzm] c:\windows\system32\edzewyzm.exe edzewyzm
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Torque_Roll · Mai 8, 2007, 1:58

il n’y a rien de negatif dans ton log.
tu peux supprimer cette ligne :

O4 - HKLM\…\Run: [edzewyzm] c:\windows\system32\edzewyzm.exe edzewyzm

As-tu installé un de ces programmes ? si c’est le cas supprime le, ton infection reviendra :

go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
sudoplanet
Webmediaplayer

Sebastouchka · Mai 8, 2007, 2:02

Aucun de ces programmes installés, mais en laissant Tea timer ouvert, je n’ai plus des pop up parasitaire. Dés que je le coupe, c’est la fête du slip coin-coin.
Et le fichier bizarre rode toujours sur mon registre avast.

westernunion · Mai 8, 2007, 2:14

J’ai du mal à suivre ton raisonnement

Il ne faut pas voir des rootkits partout, de plus, on ne sait même pas ce que contenait le rapport de BlackLight, c’est pas la bonne procédure tout ça, désolée ! c’est fait dans le désordre

Chacun son truc, on va pas tergiverser ici

:neutre:

Torque_Roll · Mai 8, 2007, 2:34

westernunion > Le raisonnement est simple : quasiment tout les jours sur clubic, il y a ce meme probleme souvent resolu avec blacklight (c’est pas une solution infaillible, je sais). Je peux te montrer tout mes posts precedents si tu doutes.

J’ai bien été clair dans mon raisonnement :

blacklight trouve des rootkits et pas autrechose. Si ce qu’il avait trouvé etait un programme “officiel” (je suis pas ignorant, un rootkit n’est pas systematiquement un virus) on ne lui donnerai pas un nom bidon avec cette suite de lettres !

Pour le log, maintenant que cette ligne soit presente ou pas, ça ne change plus rien.

Maintenant si ils y en a qui sont plus malins comme toi (je suis pas expert,c’est pas mon metier, je suis juste la pour l’entre aide), pour resoudre ce genre de probleme, qu’ils le fassent, qu’ils prennent les devants, car jusqu’a maintenant, j’en vois pas beaucoup qui solutionnent ce probleme sur clubic.

Sebastouchka · Mai 8, 2007, 2:41

Vous battez pas les mecs, j’ai trouvé pourquoi je n’arrivais pas à effacer de fichu fichier à la noix : La restauration système était activée, donc, à chaque tentative de l’effacer, il revenait par la porte de derrière.
Je la désactive, je lance ccleaner nettoyeur de la base de registre, il l’efface et hop, plus de ewzy machin.
Merci à tous pour votre investissement dans la résolution des problèmes.

youcef42 · Mai 8, 2007, 10:36

Torque_Roll:

:hello:
commence par regarder si c’est pas du à un rootkit, ça ne m’étonnerai pas
Il y a des virus rootkits spécialisés pour afficher ces pubs. Les habituels antivirus/antispyware ne detectent pas toujours la vraie source de l’infection.

Telecharge Blacklight (c’est un detecteur performant special virus caché,des rootkits) :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier “download” en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (un suite de lettres aléatoires), clique sur “rename” et redemarre ton pc.

Ensuite jushed.exe, ça doit etre les mises à jour automatiques de JAVA.

edit : inutile de rechercher le nom de ton fichier, c’est une suite aléatoire de caractère, elle change constament d’un pc à l’autre.

j’ai essayé ce truc mais apparement ça m’a éffacé des fichiers importants :??: . je l’utiliserai plus jamais.

Torque_Roll · Mai 8, 2007, 10:38

si tu as fais ce que j’ai ecris, les fichiers ne sont pas effacés mais juste renommés

Torque_Roll · Mai 8, 2007, 10:39

youcef 42 > pourquoi t’as essayé ça ?

juju251 · Mai 8, 2007, 10:42

Je n’ai pas tout suivi le topic, mais conseiller d’utiliser BlackLight c’est léger.

On commence déjà par faire un Hijack This et si on ne trouve rien on fait une détection de Rootkit à la main :neutre:

Torque_Roll · Mai 9, 2007, 5:41

juju > comment fais tu pour reconnaitre ces 4-5 fichiers ? comment à la main, tu sais qu’ils sont sur le disque et pas sur l’explorateur ? Tu vas examiner tes milliers de fichiers de ton disque dur ? Hijackthis ne montre qu’un fichier, lui seul eliminé ne suffit en rien pour desinfecter le PC.
J’ai eu le même probleme que l’auteur du topic, Hijackthis ne m’a rien apporter.