[virus] archives Thunderbird infectées...

Bonjour,


Suite à la réception d'un mail apparemment sûr, avec une vidéo en PJ qui m'a fait télécharger un codec pour WMP (virussé, bien sûr!), je viens de passer une dizaine de jours à nettoyer mes PC (2 en réseau, 1 portable) d'un certain nombre de sales bêtes qui s'y trouvaient.
Il y avait en particulier:

win32:Tibs-All (wrm)
ZipPSW worm
Downloader.VB.fr
Trojan downloader.generic3.QQS

Je ne sais plus exactement où se trouvaient tous ces virus, n'ayant pas eu la présence d'esprit de tout noter depuis le début :o( Le seul dont je me souviens a été le plus difficile à supprimer, dans hiberfil.sys.

Depuis, il y a du mieux, mais j'ai les PC sont longs à démarrer, et Zonealarm est souvent sollicité, avec pop-ups du style: "Generic Host Process for Win 32 Services wants to accept connections from trusted zone / svchost.exe / port 10014 à 10020 / 10021 à 10026 / 10113 à 10119 / 10123 à 10129,......."sans compter ceux pas relevés...

Pour essayer de faire du travail sérieux, plus documenté, en particulier sur ma machine 'principale' dans un premier temps, voici les opérations effectuées depuis ce matin:

Mode normal / compte limité:
- Mise à jours antivirus (Antivir Avira) et antispyware (AVG ASW / AD-Aware / Spybot...)
- Scan avec ASW AVG: normal

Mode sans échec / compte Admin, non connecté au réseau:
- CCleaner: rien d'anormal, dès la premiere analyse / refaite 2 fois: idem
- Spybot....: aucun mouchard trouvé
- AD-AwareSE: scan all files+inside archive: 104463 fichiers analysés: 4 objets négligeables trouvés (MRU's)
- AD-AwareSE: scan ADS: 58372 fichiers analysés: 8 objets (comme ci-dessus).

A priori donc, pas de quoi fouetter un chat......mais alors avec:

- AVIRA AntiVir: scan minutieux / 213821 fichiers analysés (2 fois plus que les softs précédents...), surprise, surprise, nombreuses détections, toutes, sauf omission de ma part, dans:
"C:\Documents and Settings\Commun\Application Data\Mozilla\Profiles\default\2aoz0dhj.slt\Mail
\Free....Worldonline
et qui ne peuvent pas être nettoyées: ([WARNING] Infected files in archives cannot be repaired!)
Les bébêtes dans ces archives sont les suivantes:

- PHISH / SunBkfraud.G - Bankfraud3 - 53Bkfraud.4
- WORM / Bagle.GL (un max!...) - Sober.Y
- VBS / Dldr.Agent.B
- DR / Bagle.P
- TR / Dldr.Small.dam - Small.DBY.Q, Y et AA2

J'ai sauvegardé tous les fichiers logs des scans (sauf scan ADS d' AD-Aware - oublié de le sauver)

J'ai aussi lancé HijackThis, dont le log figure ci-dessous.

Merci de bien vouloir l'analyser, et m'indiquer une marche à suivre pour retrouver une config claire car je commence à saturer à force de consulter un certain nombre de forum et d'essayer de me dépatouiller tout seul...

D'avance, un grand merci.

=============================================
Logfile of HijackThis v1.99.1
Scan saved at 14:31:54, on 01/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\APPLIC\Securité\AntiSpyware\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\APPLIC\Securité\AntiSpyware\Ad Aware\Ad-Aware.exe
E:\PB VIRUS EN COURS sur CPQ\OUTILS LOGS\HijackThis\OutiEradik\OutiEradik.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\APPLIC\Utilitaires\ADOBE\AcroReader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\APPLIC\Securité\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "C:\Program Files\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Program Files\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [OP14 Reminder] "C:\Program Files\ScanSoft\OmniPagePro14.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPagePro14.0\EregFre\ereg.ini"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLIC\Securité\Firewall\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\APPLIC\Securité\AntiSpyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\APPLIC\Securité\Antivirus\AVIRA\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ILO_Office_Manager] IntEdReg.exe /OFFMAN
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpamPal.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\APPLIC\Securité\Antivirus\AVIRA\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\APPLIC\Securité\Antivirus\AVIRA\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\APPLIC\Securité\AntiSpyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

=========================================
Et voilà!

Voici, à tout hasard, les noms de deux autres virus dans les archives sur mes autres PC (pas sur le principal):
- HEUR / PwdZIP.B
- PHISH / Paypalfraud.t
Si quelqu'un avait de quoi éradiquer çà..

Où alors, je refais un post pour chacune des autres machines?

Encore merci, et....

A+

Romain