Rapport de désinfection, 01 octobre 2007

 

Concerne : VINOSOFT PC MEDIA 6400 N° 139VY2/20065127

Plainte de l'Utilisateur : le PC est fortement ralenti par rapport à ses performances lors de sa mise en production en fin 2006.

Première analyse en atelier : confirmation de la plainte de l'Utilisateur : le PC tourne à +/- 30 % de ses performances initiales.

Analyse des processus en cours, de la registry, de Internet Explorer, de l'historique de l'antivirus et de l'état des mises à jour des logiciels de prévention ou de détection antispyware :

 

1/ Logiciels (freeware) Spybot et Ad-Aware :

 

Un premier mauvais point pour l'Utilisateur.

 

Un second mauvais point pour l'Utilisateur (surtout que l'icône est sur le bureau).

 

2/ Stop "Indexation en cours" de Windows Desktop Search qui ne peut que ralentir le PC et de plus, certains malwares peuvent se camoufler sous les processus de Windows Desktop Search

 

Pas d'amélioration.

3a/ XP Gestionnaire des tâches, Task Manager :

 

searchindexer, searchfilterhost.exe et searchprotocolhost restent (logiquement) actifs

 

3b/ Stop tous les processus search*.*

Quelques secondes plus tard, Task Manager :

 

 

Infos : searchindexer, searchprotocolhost, et searchfilterhost ne sont (à priori) pas des processus malins et ils ne représentent que 3 à 4 % de l'activité CPU : ils sont liés à "Microsoft® Windows® Operating System". Ils ne peuvent être (dans le cas présent) la source d'un ralentissement de plus de 60 % du PC.

Note : Some malware camouflage themselves as searchprotocolhost.exe, searchIndexer.exe & searchfilterhost.exe particularly if they are located in c:\windows or c:\windows\system32 folder.

 

Voila donc un PC à 96% en processus inactif ...

Windows Desktop Search ne semble pas être contaminé et n'est pas responsable du dysfonctionnement ...

Mais ce PC reste d'une lenteur tout à fait anormale ???

 

4/ Registry (extraits de notre recherche) : (en rouge, les lignes plus que suspectes)

 

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"Gainward"="C:\\Program Files\\VDOTool\\TBPanel.exe /A"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechCameraAssistant"="C:\\Program Files\\Logitech\\Video\\CameraAssistant.exe"
"LogitechVideo[inspector]"="C:\\Program Files\\Logitech\\Video\\InstallHelper.exe /inspect"
"LogitechCameraService(E)"="C:\\WINDOWS\\system32\\ElkCtrl.exe /automation"
"HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
 "swcgrwafsx"="c:\\windows\\system32\\swcgrwafsx.exe swcgrwafsx"
"SweetIM"="C:\\Program Files\\Macrogaming\\SweetIM\\SweetIM.exe"
 "eukouvx"="c:\\windows\\system32\\eukouvx.exe eukouvx"
 "yvpdqcj"="c:\\windows\\system32\\yvpdqcj.exe yvpdqcj"
 "umxfkwitai"="c:\\windows\\system32\\umxfkwitai.exe umxfkwitai"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
 "dqegth"="c:\\windows\\system32\\dqegth.exe dqegth" [DQEGTH.EXE has been determined by the Spyware Prevx database as Bad]
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_07\\bin\\jusched.exe"

 

5/ MSIE :

Popup apparaissant alors que nous avons appelé la page de Google :

 

<form name="input" action="http://ads.BE.celldorado.com/submit">

 

6/ Historique antivirus (trois derniers mois) :

 

22/07/2007 21:39:36,zicbnhb.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

22/07/2007 21:39:04,pjexghjrrv.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

22/07/2007 21:37:14,bxvjjpfdkd.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

02/09/2007 22:15:42,avaulqhmz.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

29/09/2007 13:32:25,qwkpyk.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

29/09/2007 13:32:21,osjisyewk.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

29/09/2007 13:32:12,mtoojtg.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

29/09/2007 13:30:34,cqlluzko.exe,Trojan.Skintrim,C:\WINDOWS\system32\,Infected

 

Trojan.Skintrim :

When the Trojan executes, it performs the following actions:
1-Creates following files:
%ProgramFiles%\MailSkinner\anim_0.gif
%ProgramFiles%\MailSkinner\anim_help.gif
%ProgramFiles%\MailSkinner\MailSkinner.exe que l'on rerouvera dans Spybot
%ProgramFiles%\MailSkinner\OLSkinner.dll
%ProgramFiles%\MailSkinner\uninst.exe
%WinDir%\pack.epk
%WinDir%\msskinner\msbackup.dat
%WinDir%\Temp\install.exe
%WinDir%\Temp\msksetup.log
%System%\nvs2.inf
%System%\[RANDOM].exe
%System%\[RANDOM].dat

More ... : Symantec

 

Nous en savons assez pour être certains que la machine est infectée malgré la protection antivirus

-> phase de désinfection :

 

Tests antimalware :

 

1- Spybot :

 

Extraits du rapport de Spybot :

Mirar: Réglages (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\getmirar.com\click\http!=W=4
SearchEnhancer: Root class (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\fis.momo.1
FunWebProducts: Class ID (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
Hotbar: Dossier Programme (Répertoire, nothing done)
C:\Documents and Settings\Famille [REMOVED]\Application Data\HbTools_Icons\
MyWay.MyWebSearch: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\MyWebSearch
FunWeb: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\Software\Fun Web Products
MyWebSearch: Interface (Clé du registre, nothing done)
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
MessengerSkinner.rtk: Réglages (Clé du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MessengerSkinner.exe
...

2- Ad-Aware :

Summary Of This Scan - Total scanning time:00:33:00.312 -  Category : Data Miner
Objects scanned:419573 - Objects identified:662 - Objects ignored:0 - New critical objects:662

 

Antivirus alerte pendant Ad-Aware Scan :

 

Stop XP System Restore

Nettoyage minutieux par différents utilitaires adéquats.

Vérification des fonctionnalités et test performances :

Les indices Affichage Texte et Test 3D de ce logiciel de test ne sont pas fiables sur les cartes nVidia GeForce***

 

(Re)Start XP System Restore.

 

Description du PC2006.5127 : CPU Intel Core 2 Duo 2.13 GHz - MB Asus P5N-SLI - HD SataII-250 Gb - Mémoire vive : 1 Gb de DDR2

Graphics : PCI-Express GeForce*** 7600GS à 256 Mb de mémoire vive (SLI compatible)

Digital Audio 5.1 - Network Ethernet Gigabit - FDD - DVD-RW DL - Tower PC102, ATX-400W

Licence Windows XP OEM FR Ed. Familiale enregistrée chez Microsoft - WebCam Logitech USB et Desktop Microphone Logtech USB