[RESOLU] Cheval de troie figaro.sys

[alky]

Bonjour,

 

Je viens de recevoir la visite d un cheval de troie que je n arrive pas a supprimer

 

Avast me trouve différents fichiers tels que :

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\19QL3YM1\Install[1].exe

C:\WINDOWS\system32\wisdstr.exe

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\19QL3YM1\Install[2].exe

 

ou bien figaro.sys

 

si je les supprime, ils reviennent

si je veux les mettre en quarantaine, avast me signal que c est impossible

 

j ai fait les 2 tests suivant :

1/ desactivaton de avast et lancement de Malwarebytes' Anti-Malware qui me detecte une dixaine de fichier malveillants

je demande à MAM de les supprimer, il y parvient, redemarre l ordi, mais au redemarrage, ces fichiers réapparaissent

 

2/ meme tentative en deconnectant internet et la les fichiers ne réaparaissent pas

 

pour info je suis sous XP SP2, j utilise essentiellement mozzila firefox pour internet mais il arrive quand meme que l on utilise IE de temps en temps

 

 

 

Merci par avance de votre aide, parceque la je ne sais plus quoi faire ...

Modifié le 19 août 2009 par alky

[Falkra]

Bonjour, je déplace vers la section de désinfection.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs, renommele svchost.exe et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Ne prends pas d'initiatives, ne fais pas de scan si pas demandé, cette bestiole est coriace, mais j'en ai viré plusieurs dernièrement.

[alky]

Merci de ton aide

 

juste pour info, avast se reactive au redemarrage de windows (suite au redemarrage automatique fait par combofix) et il me trouve le Rootkit suivant :

 

C:\WINDOWS\SYSTEM32\DLLCACHE\FIGARO.sys

 

Je suivrais tes instructions à la lettre sans faire de zele no worries

 

voila pour mon rapport :

 

ComboFix 09-08-10.06 - Admin 16/08/2009 0:13.1.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3327.2872 [GMT 2:00]

Running from: c:\documents and settings\Admin\Bureau\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090815-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\windows\system32\braviax.exe

c:\windows\system32\wisdstr.exe

c:\windows\TEMP\logishrd\LVPrcInj01.dll

 

.

((((((((((((((((((((((((( Files Created from 2009-07-15 to 2009-08-15 )))))))))))))))))))))))))))))))

.

 

2009-08-15 22:19 . 2009-08-15 22:19 -------- d-----w- c:\windows\system32\wbem\snmp

2009-08-15 22:19 . 2009-08-15 22:19 -------- d-----w- c:\windows\srchasst

2009-08-15 22:19 . 2009-08-15 22:19 -------- d-----w- c:\windows\system32\xircom

2009-08-15 22:19 . 2009-08-15 22:19 -------- d-----w- c:\program files\microsoft frontpage

2009-08-15 22:10 . 2009-08-15 22:10 -------- d-----w- c:\temp\plugtmp-4

2009-08-15 10:14 . 2009-08-15 10:14 -------- d-----w- c:\documents and settings\Admin\Application Data\Malwarebytes

2009-08-15 10:14 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-15 10:14 . 2009-08-15 10:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-15 10:14 . 2009-08-15 10:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-15 10:14 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-08-15 09:47 . 2009-08-15 09:47 619584 ----a-w- c:\windows\system32\dllcache\ntfs.sys

2009-08-15 09:43 . 2009-08-15 09:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-08-15 09:42 . 2009-08-15 22:18 -------- d-----w- c:\temp\is-OI1UQ.tmp

2009-08-15 09:42 . 2009-08-15 10:28 -------- d-----w- c:\program files\Fichiers communs\PC Tools

2009-08-15 09:41 . 2009-08-15 22:18 -------- d-----w- c:\temp\is-R9T5Q.tmp

2009-08-15 09:41 . 2009-08-15 22:18 -------- d-----w- c:\temp\is-PMDDD.tmp

2009-07-18 13:47 . 2009-07-18 13:47 -------- d-----w- C:\Arquivos de programas

2009-07-18 05:41 . 2009-07-18 05:42 -------- d-----w- c:\documents and settings\Admin\Application Data\uTorrent

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-15 22:20 . 2009-01-06 21:17 -------- d-----w- c:\program files\DNA

2009-08-15 22:20 . 2009-01-06 21:17 -------- d-----w- c:\documents and settings\Admin\Application Data\DNA

2009-08-15 22:01 . 2002-08-30 11:00 48616 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-15 22:01 . 2002-08-30 11:00 367658 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-15 06:49 . 2007-02-09 10:23 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-08-14 11:45 . 2008-12-30 21:10 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs

2009-08-14 11:45 . 2009-03-03 21:21 0 ----a-w- c:\windows\system32\drivers\logiflt.iad

2009-08-07 19:21 . 2008-12-30 13:04 -------- d-----w- c:\documents and settings\Admin\Application Data\teamspeak2

2009-07-19 17:31 . 2009-01-06 21:17 -------- d-----w- c:\documents and settings\Admin\Application Data\BitTorrent

2009-07-19 08:32 . 2008-12-27 18:16 16736 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-18 21:52 . 2008-12-29 12:37 737280 ----a-w- c:\windows\iun6002.exe

2009-07-18 13:53 . 2009-05-10 13:43 1328 ----a-w- C:\FSUIPC_reg.bin

2009-06-29 20:36 . 2008-12-30 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Tarma Installer

2009-06-28 16:39 . 2009-06-29 20:36 504320 --s-a-r- c:\documents and settings\All Users\Application Data\Tarma Installer\{ED99A50F-64D0-4596-9BB4-3B4DC4C373C7}\_Setup.dll

2009-06-25 04:03 . 2009-06-29 20:36 223744 --s---r- c:\documents and settings\All Users\Application Data\Tarma Installer\{ED99A50F-64D0-4596-9BB4-3B4DC4C373C7}\Setup.exe

2009-06-21 13:37 . 2009-06-29 20:01 487424 --s-a-r- c:\documents and settings\All Users\Application Data\Tarma Installer\{1CA456D7-C35D-41FE-9718-BDFB48E06556}\_Setup.dll

2008-12-27 18:29 . 2008-12-27 18:29 61 --sh--w- c:\windows\cnerolf.dat

.

 

------- Sigcheck -------

 

 

[-] 2009-08-15 09:47 619584 251DF0EE5E900EC7DE6E738991B6030C c:\windows\system32\dllcache\ntfs.sys

[-] 2009-08-15 06:49 619584 251DF0EE5E900EC7DE6E738991B6030C c:\windows\system32\drivers\ntfs.sys

 

c:\windows\system32\drivers\beep.sys ... is missing !!

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-01-06 342848]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"Six Engine"="c:\program files\ASUS\EPU-6 Engine\SixEngine.exe" [2008-06-03 5964800]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-09 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-09 86016]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-01 136600]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2007-08-07 200704]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-04-27 98304]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-09 1630208]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-03-17 124928]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2009-4-27 118784]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders schannel.dll, digest.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\IVAO\\IvAp\\ivapnetint.exe"=

"c:\\Program Files\\DNA\\btdna.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

 

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24/06/2008 00:21 150568]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [13/06/2009 20:31 114768]

R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [27/12/2008 20:19 36864]

S2 gupdate1c985cab2e6c148;Google Update Service (gupdate1c985cab2e6c148);c:\program files\Google\Update\GoogleUpdate.exe [03/02/2009 08:43 133104]

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-braviax - (no file)

HKU-Default-Run-Yahoo! Pager - c:\program files\Yahoo!\Messenger\YahooMessenger.exe

HKU-Default-Run-braviax - (no file)

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\ceai3tu1.default\

FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-16 00:20

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(6344)

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\program files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe

c:\windows\system32\wscntfy.exe

c:\windows\Temp\BN4.tmp

c:\windows\system32\imapi.exe

.

**************************************************************************

.

Completion time: 2009-08-15 0:24 - machine was rebooted

ComboFix-quarantined-files.txt 2009-08-15 22:24

 

Pre-Run: 16 068 853 760 octets libres

Post-Run: 16 345 321 472 octets libres

 

171

[Falkra]

Ok, on continue, on va réparer des choses.

 

1) Télécharge le fichier repar.zip ici :

http://senduit.com/23f566

 

Télécharge le fichier CFscriptAlky.txt ici :

http://senduit.com/e58da6

 

2) Dézippe le fichier repar.zip (de préférence dans un dossier) il contient deux fichiers système à réparer et un fichier repar.bat.

Double clique sur le fichier repar.bat : il doit t'afficher deux copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer deux fois "1 fichier(s) copié(s)"

 

3) Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Fais un glisser/déposer du fichier CFscriptAlky sur l'icône de combofix comme sur cet exemple :
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Combofix va faire redémarrer la machine, au redémarrage, Avast va bipper, fais lui ignorer figaro, et désactive-le (désactive Avast), sinon il va gêner le reste.

 

4) Mets à jour MBAM, et fais la recherche rapide, en shootant ce que MBAM trouve et poste le rapport MBAM.

[alky]

etapes 1 et 2 faites par contre le pc redemarre toutes ls 3 minutes depuis ce matin

 

etape 3 : il semble que rien ne se passe apres le glissé sur l icone combofix mis a part que j ai un warning qui me demande si je veux effectivement lancer ce logiciel, je dit oui et puis plus rien (jusqu au prochain reboot)

[Falkra]

le pc redemarre toutes ls 3 minutes depuis ce matin

Pas sympa ça.

Paramètre pour afficher les écrans bleus au lieu de redémarrer automatiquement, ça peut venir d'un écran bleu. Si c'est le cas, poste le type d'erreur signalé par l'écran bleu, et un nom de fichier incriminé s'il y en a un.

 

Ton combofix est actuellement nommé svchost.exe ?

[alky]

non pas d ecran bleu : il etait deja parametré pour s afficher (case redemarrer automatiquement decochee)

 

et le nom de mon combofix est Combofix.exe

 

 

Edit : Je viens de capter qu il fallait renommer combofix en svchost.exe , a quelle etape faut il que je reprenne ?

Modifié le 16 août 2009 par alky

[Falkra]

Ok. Renomme-le en svchost.exe, et fais glisser le script à nouveau (s'il est encore là et contient bien des données).

 

Redémarrage, peut-être une alim fatiguée (mais je ne pense pas), on verra.

[alky]

je n ai que ca dans le script :

 

killall::

 

file::

c:\windows\Temp\BN4.tmp

 

c est normal ?

 

 

d autres éléments : l alim n a q un an, elle ne montrait pas de symptome de fatigue il y a deux jours.

 

 

depuis ce matin : firefox me dit qu il demarre en mode "safe", il n est plus mon navigateur par defaut et IE a reapparu (alors que je n en avais aucune icone sur mon bureau)

 

sinon j ai retelecharge svchost.exe depuis le lien que tu m as donné, j ai refait glisser ton script dessus, il a démarré au bout d un instant j ai eu une fenetre bleu me disant qu il (svchost.exe) avait ete désinstallé...

 

C est normal ? (je commence à avoir un peu peur de devoir tout formater là...)

Modifié le 16 août 2009 par alky
*** tronqué

[Falkra]

Oui, ce n'est pas bien grave. Refais un scan MBAM (mis à jour) et poste le rapport stp.