Infection cheval de troie TR/PSW.Kates [Résolu]

[picouchov]

j'ai un petit souci, j'ai fait les manips mais lorsque je vais sur virustotal et parcourir, il ne m'affiche pas ce fichier. Que je ne retrouve pas non plus lorsque je parcoure mon poste de travail mais qui est retrouvé avec la recherche sur l'explorateur de fichier

c'est un fichier .dll

[picouchov]

ça y est, trouvé, il n'est pas dans drivers c'est

c:\windows\system32\spmsg2.dll

voilà le rapport

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.10 -

AhnLab-V3 5.0.0.2 2009.11.06 -

AntiVir 7.9.1.61 2009.11.10 -

Antiy-AVL 2.0.3.7 2009.11.10 -

Authentium 5.2.0.5 2009.11.10 -

Avast 4.8.1351.0 2009.11.10 -

AVG 8.5.0.423 2009.11.10 -

BitDefender 7.2 2009.11.10 -

CAT-QuickHeal 10.00 2009.11.10 -

ClamAV 0.94.1 2009.11.10 -

Comodo 2905 2009.11.10 -

DrWeb 5.0.0.12182 2009.11.10 -

eSafe 7.0.17.0 2009.11.10 -

eTrust-Vet 35.1.7113 2009.11.10 -

F-Prot 4.5.1.85 2009.11.10 -

F-Secure 9.0.15370.0 2009.11.09 -

Fortinet 3.120.0.0 2009.11.10 -

GData 19 2009.11.10 -

Ikarus T3.1.1.74.0 2009.11.10 -

Jiangmin 11.0.800 2009.11.10 -

K7AntiVirus 7.10.892 2009.11.09 -

Kaspersky 7.0.0.125 2009.11.10 -

McAfee 5797 2009.11.09 -

McAfee+Artemis 5797 2009.11.09 -

McAfee-GW-Edition 6.8.5 2009.11.10 -

Microsoft 1.5202 2009.11.10 -

NOD32 4592 2009.11.10 -

Norman 6.03.02 2009.11.09 -

nProtect 2009.1.8.0 2009.11.10 -

Panda 10.0.2.2 2009.11.09 -

PCTools 7.0.3.5 2009.11.10 -

Prevx 3.0 2009.11.15 -

Rising 22.21.01.09 2009.11.10 -

Sophos 4.47.0 2009.11.10 -

Sunbelt 3.2.1858.2 2009.11.10 -

Symantec 1.4.4.12 2009.11.10 -

TheHacker 6.5.0.2.064 2009.11.09 -

TrendMicro 9.0.0.1003 2009.11.10 -

VBA32 3.12.10.11 2009.11.09 -

ViRobot 2009.11.10.2029 2009.11.10 -

VirusBuster 4.6.5.0 2009.11.09 -

Information additionnelle

File size: 14048 bytes

MD5...: 37044da1f53a8a6e5c54fca4c974511a

SHA1..: c67e85389503bea34fa7c4c29486bc349b3f39b7

SHA256: b86fe1370e2f55000b5227f2c7a41a76a841a72d1e2a40143b4044b7d5a39088

ssdeep: 192:JrW0GLJoplWEQdvzuL/CldolMGo3OuqoMOdLCqm3p:JrW0h7WEQdvzuLCcMe

/oTCZ5

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x0

timedatestamp.....: 0x42c17f50 (Tue Jun 28 16:48:16 2005)

machinetype.......: 0x14c (I386)

 

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.rsrc 0x1000 0x1678 0x1800 3.40 6b19bcdd5d5083557e2de5ea770b202f

.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

 

( 0 imports )

 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: © Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: Service Pack Messages

original name: spmsg.dll

internal name: spmsg.dll

file version.: 6.2.0029.0 (SRV03_QFE.031113-0918)

comments.....: n/a

signers......: Microsoft Corporation

Microsoft Code Signing PCA

Microsoft Root Authority

signing date.: 6:20 PM 6/28/2005

verified.....: -

[pear]

Ok, le doute est levé.

C'est propre.

 

Encore un problème?

[picouchov]

Merci

Juste quelques petites questions, est-il normal que MBAM ne se lance tjrs pas et qu'aucune mise à jour antivir ne puisse être effectuée (par contre le problème de circonflexe semble être réglé)

pour antivir même en essayant la maj manuelle sur ce lien

http://www.avira.com/en/support/vdf_update.html

voici le message qui apparaît

Forbidden

You don't have permission to access /en/support/vdf_update.html on this server.

enfin puis enlever combofix, faut-il simplement supprimer le fichier ?

dernière chose, le virus était dans les fichiers cités par combofix "Lowsec" ?, ça c'est pour mon info personnelle

merci beaucoup pour votre aide et le temps accordé

[picouchov]

dernière chose, j'oubliais

que faire avec spybot pour les fichiers qui avaient été supprimés

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Rootrepeal peut-il être supprimé aussi

Enfin, si je ne sors pas trop du sujet dois-je continuer à utiliser spybot et antivir ou dois-je installer d'autres outils gratuits

merci

[pear]

Bonjour,

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->ComboFix /uninstall

 

Supprimez C:\qoobox si vous le trouvez

 

Il ne vous servirait à rien de garder des outils de désinfection qui sont constamment mis à jours et seraient obsolètes en quelques jours.

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

 

cela fait désinstallez le logiciel.

 

Spybot est controversé, pour ne pas dire plus, mais il a des supporters.

Si vous le gardez, évitez la vaccinationqui n'est pas très utile et ralentit le système.

 

Avira a des problèmes de serveur mais chez moi cela fonctionne sans problème.

Une réinstallation pourrait résoudre le problème.

Sinon:

Antivir Mises à jour Manuelles:

 

Pour Mbam, ce n'est pas normal sur un pc propre(sans rootkit).

Réinstaller ?

[picouchov]

merci

la désinstallation de combofix s'est bien passée

pour toolcleaner, il n'a rien trouvé alors que je n'avais rien supprimé de tout ce que nous avons installé

 

pour avira impossible comme je l'avais noté dans le message précédent impossible de faire les mises à jour manuelles et surtout impossible de le télécharger pour le désinstaller et le réinstaller ensuite

est-il possible qu'il y ait quelque chose qui bloque antivir, j'ai essayé sur 01net, clubic, commentçamarche et le site de l'éditeur qui renvoie sur 01net à chaque fois une erreur 404 ou 501 not implemented

[picouchov]

j'ai réussi à prendre la mise à jour sur un autre ordi et la transférer sur le mien

j'ai donc pu mettre à jour antivir et là surprise il me retrouve le virus

TR/PSW.Kates.Q.5

source C\windows\ndr.dat

faut-il que je reprenne toute la manip

[picouchov]

spybot m'a trouvé ceci aussi alors qu'il ne trouvait rien avant

 

Win32.Agent.pz: [sBI $7EC6899E] Réglages (Valeur du Registre, fixed)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network\UID

Win32.Agent.pz: [sBI $8980C6CD] Réglages (Valeur du Registre, fixed)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Network\UID

Right Media: Cookie traceur (Internet Explorer: pierric) (Cookie, fixed)

--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.

2009-01-26 SDFiles.exe (1.6.1.7)

2009-01-26 SDMain.exe (1.0.0.6)

2009-01-26 SDShred.exe (1.0.2.5)

2009-01-26 SDUpdate.exe (1.6.0.12)

2009-01-26 SpybotSD.exe (1.6.2.46)

2009-03-05 TeaTimer.exe (1.6.6.32)

2009-03-19 unins000.exe (51.49.0.0)

2009-01-26 Update.exe (1.6.0.7)

2009-11-04 advcheck.dll (1.6.5.20)

2007-04-02 aports.dll (2.1.0.0)

2008-06-14 DelZip179.dll (1.79.11.1)

2009-01-26 SDHelper.dll (1.6.2.14)

2008-06-19 sqlite3.dll

2009-01-26 Tools.dll (2.1.6.10)

2009-01-16 UninsSrv.dll (1.0.0.0)

2009-10-08 Includes\Adware.sbi (*)

2009-11-10 Includes\AdwareC.sbi (*)

2009-01-22 Includes\Cookies.sbi (*)

2009-11-03 Includes\Dialer.sbi (*)

2009-10-13 Includes\DialerC.sbi (*)

2009-01-22 Includes\HeavyDuty.sbi (*)

2009-05-26 Includes\Hijackers.sbi (*)

2009-10-27 Includes\HijackersC.sbi (*)

2009-10-20 Includes\Keyloggers.sbi (*)

2009-10-20 Includes\KeyloggersC.sbi (*)

2004-11-29 Includes\LSP.sbi (*)

2009-11-10 Includes\Malware.sbi (*)

2009-11-10 Includes\MalwareC.sbi (*)

2009-03-25 Includes\PUPS.sbi (*)

2009-10-20 Includes\PUPSC.sbi (*)

2009-01-22 Includes\Revision.sbi (*)

2009-01-13 Includes\Security.sbi (*)

2009-11-10 Includes\SecurityC.sbi (*)

2008-06-03 Includes\Spybots.sbi (*)

2008-06-03 Includes\SpybotsC.sbi (*)

2009-11-03 Includes\Spyware.sbi (*)

2009-11-10 Includes\SpywareC.sbi (*)

2009-06-08 Includes\Tracks.uti

2009-11-10 Includes\Trojans.sbi (*)

2009-11-10 Includes\TrojansC.sbi (*)

2008-03-04 Plugins\Chai.dll

2008-03-05 Plugins\Fennel.dll

2008-02-26 Plugins\Mate.dll

2007-12-24 Plugins\TCPIPAddress.dll

[pear]

C'est curieux!

 

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

 

Ceci apparait pour une infection bien spécifique.l'infection \Device\__max++>\^

 

Cannot access: C:\WINDOWS\system32\eventlog.dll

[1] 2004-08-19 16:09:25 55808 C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll (Microsoft Corporation)

[1] 2008-04-13 19:33:24 56320 C:\WINDOWS\ServicePackFiles\i386\eventlog.dll (Microsoft Corporation) Fichier convenable

[2] 2004-08-19 16:09:25 55808 C:\WINDOWS\system32\eventlog(2).dll (Microsoft Corporation)

[1] 2008-04-13 19:33:24 61952 C:\WINDOWS\system32\eventlog.dll () Fichier patché:on ne voit pas Microsoft!!!

 

 

Si la recherche est vaine:

 

Téléchargez Random's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Double-cliquez sur RSIT.exe afin de lancer RSIT.

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

Si les rapports sont trop lourds, postez les en plusieurs fois

Modifié le 16 novembre 2009 par pear