Je crois que j'ai besoin d'un coup de main là...

[Maurice Morisson]

Salut


J'ai un gros problème de Cheval de Troie sur mon ordinateur portable Toshiba et je ne m'en sors plus, aussi, en dernier recours, j'en appel à votre générosité et vos compétences en informatique parceque là, je suis dans l'impasse.Voici l'historique des évènements...

Lundi:

Lundi de la semaine dernière , à 10h30, mon frère part en laissant l'ordinateur allumé sans le mettre en veille.Il rentre à 18h, nous avions prévu de faire une partie en LAN de Star Wars Empire at War: Force of Corruption avec l'indispensable mod SI, pendant que j'installe le-dit mod, je constate que, d'abord l'ordinateur est anormalement lent, ensuite que windows lance une alerte de sécurité signalant l'absence de "protection antivirus", intrigué, je constate rapidement que la rassurante petite icône en forme de bouclier de mon antivirus VirusScan 8.0i a disparu. Toujours intrigué je tente de démarrer la console VirusScan, le démarrage est assez inquiétant, 3 messages d'erreur apparaisse avant que la console ne finisse de démarrer, le pire étant que 2/3 sont bugé et totalement incompréhensible, le troisième semble être un problème dans la fonction de mise à jour.Un fois la console démarrée premier constat la protection en temps réel et l'analyse des disques ont disparu de la liste des services de la console. Ne parvenant pas à démarrer ni l'un ni l'autre et commençant à penser à un problème de virus, j'essaye de démarrer CCleaner (pour virer les fichiers TEMP, nettoyer le registre...) ce qui me permet de constater que le fichier exécutable à purement et simplement disparu, alors qu'il existait encore 2 jours auparavant.J'essaye alors de démarrer Spybot, qui ne réagit pas, quoi que je fasse.L'ordinateur est toujours lent et je décide de consulter les journaux d'activités de VirusScan, et là surprise! le fichier est plein; depuis au moins le 8 avril, VirusScan à bloqué à de très nombreuses reprises des "programmes nuisibles", jusqu'à plus de 6 fois par secondes, sans rien dire, la dernière entrée date du jour même à 13h,33minutes et 25 secondes, puis plus rien.Il semble désormais sûr à 100% qu'il y a bel et bien un virus sur l'ordinateur et d'autre part ,que l'antivirus est mort dans l'exercice de ses fonctions. Au cours des évènements j'ai dû redémarrer 2 fois l'ordinateur pour voir si les problèmes disparaissaient et à cause des ralentissements.J'ai également vérifié parmi les processus si je ne trouvais rien de bizarre, ce qui ne fut pas le cas (mais je ne m'y connais pas trop...).Je suis finalement parvenu à démarrer manuellement une analyse complète du disque avec VirusScan, qui trouva 21 fichiers infectés .Le virus est identifié comme étant "New Malware.j".Après quelques recherches sur internet, je désactive la restauration système, et installe le programme "trojan remover" qui confirme l'infection et nettoie tout ce qu'il peut, il s'exécute aussi au démarrage, et après plusieurs passages ne trouve plus rien.


Mardi:
Je passe la première partie de la matinée à essayer de débloqué VirusScan, (quand un bateau à une voie d'eau, on peut pomper autant qu'on veut, tant que le trou n'est pas réparé l'eau va continuer d'entrer)j'utilise le disque d'installation pour essayer de réparer l'antivirus mais à chaque fois, l'installation bug, me signalant soit que l'installeur n'a pas l'autorisation pour utiliser un programme(bug rédhibitoire) , soit un bug "mineur" dans le système de mise à jour.Après plusieurs essais je parviens à réparer partiellement l'antirus, la protection en temps réel et l'analyse fonctionne à nouveau mais l'interface signale toujours des bug bizarres et la fonction mise à jour ne fonctionne plus du tout.En essayant de réparer l'installation en mode sans échec, j'ai eu la désagréable surprise de constater que le mode sans échec menait droit sur une furtive page bleue finissant sur un redémarrage du PC.Entre 2 réinstallations, j'ai passer CCleaner en mode nettoyage des fichiers et du registre (après réinstallation) et Spybot, qui n'a rien trouvé de spécial.Dans la 2e partie de la matinée et le début de l'après midi j'ai essayer de réinstaller complètement plusieurs fois VirusScan, toujours avec les même problèmes,malgrès de nombreuses tentatives et la récupération sur un autre PC avec le même antivirus du fichier de gestion des mises à jour(solution McAfee) , l'ordinateur a recommencer à devenir dangereusement lent. A tout hasard, j'ai passé SmitFraudix (en mode windows normale donc) qui a trouvé plusieurs infections mais n'est pas parvenu à toutes les neutralisées.Excédé, en fin d'après midi je désinstalle complètement le défaillant VirusScan pour installer Avast.Le principal avantage d'Avast sur VirusScan est qu'il est quasiment à jour dès l'installation, alors qu'après réinstallation, VirusScan avait selon ses propres mots une "base de données vieille de 45 mois".Avast déclare l'ordinateur infecté par un cheval de Troie "win 32 je sais plus quoi" et lance une analyse au démarrage de Windows.Je ne sais pas si c'est l'ordinateur qui est infecté jusqu'à l'os ou si c'est avast qui est paranoïaque mais au cours de l'analyse, il trouve 280 fichiers infectés, dont beaucoup d'exécutables dont plusieurs programmes de gestions de l'ordinateur développés par Toshiba et présent depuis l'achat mais aussi des programmes très respectables comme l'exécutable de Crusader King ou l'autorun de Chaos League.


Après le massacre, l'ordinateur a redémarré normalement et avast a signalé qu'un programme avait essayé de l'éteindre, j'ai aussi dû utiliser la fonction "réparation de l'installation" car bizarrement la fonction mise à jour ne fonctionnait plus (comme pour VirusScan).J'ai relancer un scan avec Avast Mercredi; après plus de 10h d'analyse avast en était à 41% et l'ordinateur tellement lent qu'il a fallut plus de 2 minutes (montre en main) pour que le gestionnaire de tâches démarre alors qu'à par le scan d'avast, rien ne tournait.

Je n'ai plus touché l'ordinateur jusqu'à aujourd'hui, pour télécharger et installer HijackThis et faire un scan complet.Avast à a nouveau faillit être éteint par un "programme" et l'ordinateur était extrêmement lent après quelques minutes d'utilisation.

Concernant la source de l'infection, VirusScan m'avait signaler une attaque par un Cheval de Troie en janvier qui avait été réglé par 2 analyses successives et n'avait (presque) plus fait parler de lui.A l'époque la zone infecté était la zone de restauration.Au cours de mes tribulations dans les documents de mon frère, j'ai également trouvé un fichier portant le doux nom de "naked164.exe", je pense qu'il est inutile d'aller chercher plus loin.


Quelques infos en vrac:

Mon PC est un ordinateur Toshiba Qosmio F10
Processeur Intel Centrino 1,70 Ghz
512 Mo de ram
carte graphique Nvidia GeForce FX 128 Mo

Je garde en stock une installation de VirusScan Plus (VirusScan 12)



Le scan avec HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:22:30, on 24/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\TOSHIBA Picture Enhancement Utility\TosPEHK.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\00THotkey.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Thomas\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Utilitaire d'enrichissement d'image Toshiba] C:\Program Files\TOSHIBA\TOSHIBA Picture Enhancement Utility\TosPEHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID. EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


J'espère n'avoir rien oublié et ne pas avoir été trop long.

Merci d'avance du coup de main parcerque là je crois que la prochaine étape c'est le formatage puis la réinstallation complète...

[Lafrite]

Et le gagnant semble être

http://www.pcreview.co.uk/startup/CTFMON32.EXE.php

[Maurice Morisson]

Citation:

Envoyé par Lafrite

Et le gagnant semble être

http://www.pcreview.co.uk/startup/CTFMON32.EXE.php

Et c'est bon signe docteur?

[Lafrite]

Faut enlever la tumeur.

Effacer le fichier et nettoyer les programmes qui se lancent au démarrage.

Comment ? Heuuu.. ça m'arrive jamais, faut voir les options que propose Hijackthis ou alors booter sur un CD/Clé USB et l'enlever à la main.

[Gilou]

Perds pas de temps formate ton disque dur !

[Maurice Morisson]

Citation:

Envoyé par Lafrite

faut voir les options que propose Hijackthis

J'ai une option "fix cheked" ça pourrai être ça? (je ne connais pas du tout HijackThis et ma connaissance de l'anglais est approximative )

Citation:

Envoyé par Gilou

Perds pas de temps formate ton disque dur !

Je pense que c'est ce que je vais faire mais au point ou j'en suis, ça ne me coute rien d'essayer...


EDIT: après vérification, les virus qu'avait détecté avast lors de sa première analyse s'appelait win32 sality; win32 killav-EU et win32 agent-QNK

[Maurice Morisson]

Finalement je me suis décidé à formater le disque dur et tout réinstaller.J'ai utilisé le disque de restauration fournit avec l'ordinateur, j'ai choisis la réinstallation normale j'ai accepté quand il m'a dit que j'allai perdre toutes les données, une barre de progression apparait, au bout d'environ 20 min/une demi heure, l'opération est finie, le programme me demande de "appuyer sur ctrl+alt+suppr pour redémarrer l'ordinateur", l'ordinateur redémarre normalement puis au moment ou windows devrait démarrer apparait un très furtif écran bleu (il a même pas le temps de s'afficher en totalité) puis redémarrage direct. Windows ne démarre pas, quel que soit le mode choisit de démarrage.

A votre avis, est ce que le CD de réinstallation est mal foutu (j'ai essayer de réinstaller une deuxième fois et pas de changement) ou y a t'il un autre problème(casse d'un composent?)

[Gilou]

Au boot tu n'as pas une touche de fonction, F2 autre ? Pour pouvoir faire un diagnostique matos. Mais perso je penche plus pour un pb software (Suite à l'infection)

[Maurice Morisson]

Pour la touche de diagnostique, je ne sais pas, le programme de Toshiba, Qosmio me permet de choisir en 4 possibilités autre que le démarrage de windows classique, une icône "avec des disques empilés" (surement le disque dur) qui lance l'ordi normalement, une icône avec juste un disque, qui permet de démarrer un programme depuis le CD dans le lecteur , une option avec une disquette, mais mon ordi n'a pas de lecteur disquette, et une option "réseau" dont je ne connais ni la fonction ni la manière de l'utiliser...

[Otto Granpieds]

Je compatis
Va falloir que je formate aussi