Malekal's forum

[Picool]

Bonjour, ce n'est qu'aujourd'hui que ce virus me fait du mal donc je demande votre aide ^^ :

Depuis le 16 décembre je suis infecté par Xor-encoded.A et maintenant il se propage dans mes exécutables (il a infecté filezilla et son désinstalleur dernièrement), j'utilise Panda Cloud Antivirus et il ne fait qu'agir après l'infection (en partenariat avec Windows Defender) donc je demande votre aide pour m'aider à le supprimer complétement du pc avant qu'il ne fasse plus de dégâts à ma machine.

Merci d'avance, je ne sais plus quoi faire .

[Malekal_morte]

Salut,

Envoie un des fichiers infectés sur http://upload.malekal.com


~~


~- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -


~~

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

Scan en ligne avec Kaspersky :
- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.
- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
- Scan le poste de travail
- Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

[Picool]

Voila le rapport HijackThis, le reste arrive bientôt ;)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:52, on 08/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox 3.6 Beta 4\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: lxdr_device - - C:\Windows\system32\lxdrcoms.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

--
End of file - 4539 bytes

[Picool]

Le scan kaspersky a rien donné, j'ai juste supprimé mon cache pour ca mais pourtant l'autre pc a du supprimé un Xor.encoded.a ya 5min...donc je tente la suppression du cache :s

Friday, January 8, 2010
Operating system: Microsoft Professional (build 7600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, January 08, 2010 17:58:07
Records in database: 3318997
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area Critical areas
C:\Program Files
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\Hadrien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Windows
Scan statistics
Objects scanned 104867
Threats found 0
Infected objects found 0
Suspicious objects found 0
Scan duration 01:04:21

No threats found. Scanned area is clean.
Selected area has been scanned.

[Malekal_morte]

Salut,

Sauf si c'est toi qui a mis ça :
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

fix ces deux lignes.

Sont détectés dans quel fichier ces Xor-encoded.A ? en mémoire ?

[Picool]

Bonsoir,

Comment je fix ces 2 lignes ? (je tourne sous Windows 7 et ça semble être un truc utile)

Voila le rapport de mon antivirus :
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{3E73A7BD-0355-E15B-23A0-441AD029830A}-fzsftp.exe 07/01/2010 20:10:20 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{85A748F8-E240-B201-0179-F0A2E0B6E1C4}-filezilla.exe 04/01/2010 18:01:35 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{D0E686CA-DE15-4CAF-0440-4925FF5C35D4}-FileZilla_3.3.1_win32-setup.exe 04/01/2010 17:51:34 Supprimé
Analyse Analyse rapide 29/12/2009 22:42:28 Terminé.
Cookie détecté <A href="malwareinfo">Cookie/Atlas DMT</A> Emplacement : C:\Users\Hadrien\AppData\Roaming\Microsoft\Windows\Cookies\hadrien@atdmt[2].txt 29/12/2009 22:34:26 Supprimé
Analyse Analyse rapide 29/12/2009 22:34:05 Démarré.
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{27414220-1D4C-674F-E8EF-EB3F39796E6C}-setup.exe 22/12/2009 18:53:46 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{CDD0F321-8531-BDE5-8ADC-6DC1D65C7BF1}-maconfservice.exe 16/12/2009 11:35:21 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{C3336190-C242-AA2E-9BB7-4AB9EF222FAF}-driverhardwarev2.sys 16/12/2009 11:35:21 Supprimé

[Picool]

Et voici celui du second PC (sous windows 7 aussi) :



Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{1C742E37-5CCE-C7BD-6D44-372418CE5166}-hl2.exe 08/01/2010 21:24:53 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{972743D1-E23D-3D41-B848-7E4F9C634526}-vstdlib.dll 26/12/2009 02:29:38 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{2405B418-93F4-DD22-A77E-2056BA071ABC}-vguimatsurface.dll 26/12/2009 02:29:38 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{0457378C-3177-ABA1-4A34-48D4D81D2DF4}-vphysics.dll 26/12/2009 02:29:38 Supprimé
Virus détecté <A href="malwareinfo">W32/Xor-encoded.A</A> Emplacement : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{17318AE3-C8D5-B593-FA17-318FCB829C0C}-vtex_dll.dll 26/12/2009 02:29:38 Supprimé

[Malekal_morte]

oublie ce C:\Windows\System32\mctadmin.exe.

Bon c'est tendu, car y a pas grand chose qui marche sous seven pour déterminer d'où ça vient...
C'est bizarre car on dirait que ça infecte les exécutables...
Ce qui serait bien, c'est qu'à la prochaine alerte, tu scannes le fichier sur VirusTotal, histoire d'être sûr que c'est pas ton antivirus qui déraille : virustotal-comment-scanner-un-fichier-t9828.html#p74260

et aussi :


* Télécharge OTL sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Sous Custom Scans/Fixes, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

[Picool]

Bonjour, voila les 2 fichiers :

OTL :
http://www.cijoint.fr/cjlink.php?file=c ... 17MYYi.txt

Extra :
http://www.cijoint.fr/cjlink.php?file=c ... s5S9Cg.txt

Ce qui est vraiment bizarre c'est que le virus passe totalement inaperçu puis il se réveille comme ça pour le fun ><

[Malekal_morte]

Tu peux envoyer ces fichiers sur http://upload.malekal.com :
[2010/01/08 22:29:18 | 00,054,016 | ---- | C] () -- C:\Windows\System32\drivers\uivugu.sys
[2010/01/08 22:51:16 | 00,005,174 | ---- | C] () -- C:\Windows\System32\nppt9x.vxd

Le premier possible qu'il te dise fichier verouillé :\

C'est toi qui a enregistré ce fichier sur ton bureau ?
[2010/01/08 20:22:39 | 00,002,779 | ---- | C] () -- C:\Users\Hadrien\Desktop\11.html

[Picool]

Le .vxd je n'ai pas réussi à l'uploader (message d'erreur) donc je l'ai mis sur mon ftp :

http://cristalwar.free.fr/nppt9x.vxd

L'autre a bien été uploadé


Pour le fichier oui c'est moi (c'est le log de Kasperky) :
Friday, January 8, 2010
Operating system: Microsoft Professional (build 7600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Friday, January 08, 2010 17:58:07
Records in database: 3318997
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area Critical areas
C:\Program Files
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\Hadrien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Windows
Scan statistics
Objects scanned 104867
Threats found 0
Infected objects found 0
Suspicious objects found 0
Scan duration 01:04:21

No threats found. Scanned area is clean.
Selected area has been scanned.

-------------------------------
Pour le virus, on m'a dit qu'il serait polymorphe et qu'il s'encrypterai pour éviter d'être détecté (d'où la dénomination XOR), j'espère que tu réussira à m'aider avec ces 2 fichiers car je nage complétement ><.

Et merci de t'occuper de mon cas aussi.

[Malekal_morte]

Tu as utilisé ce prog : the-avenger-t22647.html ?

[Picool]

Non du tout, je dois le faire ? (et comment car j'ai vu qu'il fallait un "script").
Merci

[Malekal_morte]

Non c'est juste que le driver semble être un driver de The Avenger.

Tu peux le renommer le fichier ?

Sinon honnêtement, j'ai vraiment l'impression que c'est Panda qui fume...
Eventuellement faire un scan en ligne : http://www.kaspersky.com/virusscanner

[Picool]

Sauf que pourquoi Windows Defender me demanderai donc d'envoyer les fichiers ?

C'est vrai que toute cette histoire me semble bizarre aussi, d'ailleurs uivugu.sys a disparu ><.

Tant que le virus ne revient pas on va dire que ca va ^^, je formaterai bientôt je pense...

Merci beaucoup de ta patience et de ton aide.