Infecté par Malware Defense et Windows Security alert (RESOLU)

[titAcharnée]

Bonjour,

L'ordinateur d'un ami vient d'être infecté par Malware Defense. Un faux centre de sécurité était ouvert dans la barre des tâches et a subitement disparu.

Avira et Malwarebyte's ne se lancent plus. La commande "Arrêter l'ordinateur" ne marche pas non plus. ....

Même en mode sans échec sans prise en charge du réseau, ComboFix ne se lance pas. Je n'ai pas encore essayé Gmer. Je ne peux pour l'instant lancer que Hijack dont voici le rapport (je vois que le proccesus Malware Defense tourne toujours ainsi que richtx64.exe alors que je les ai arrêtés dans le gestionnaire de tâches.

):

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:34:39, on 26/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\Iexplore.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msi.com.tw

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.channelnetwork.cn/ac.php?aid=216&sid=new

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [FirefaceTray] fireface.exe

O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw

O17 - HKLM\System\CCS\Services\Tcpip\..\{E18F6C58-2A39-4312-B5C0-F26ED5D772A6}: NameServer = 212.27.40.240,212.27.40.241

O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe

O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe

 

--

End of file - 3498 bytes

Modifié le 28 décembre 2009 par titAdonf

[Falkra]

Bonjour, gaffe avec Gmer et combofix, à ne pas utiliser seul au hasard !

 

Télécharge GMER Rootkit Scanner du lien suivant :

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• Modules
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[titAcharnée]

Bonjour, gaffe avec Gmer et combofix, à ne pas utiliser seul au hasard !

Non, je fais attention et demande également de l'aide chez Malekal qui est, comme tu as l'air de l'être Falkra, un as de la désinfection.

Selon mon post d'Hijack, il me conseille de fixer les lignes

O4 - HKLM\..\Run: [FirefaceTray] fireface.exe

O4 - HKLM\..\Run: [FirefaceMixTray] firefacemix.exe

Penses-tu que je devrais le faire avant de lancer l'installation de Gmer?

[Falkra]

Non, je fais attention et demande également de l'aide chez Malekal qui est, comme tu as l'air de l'être Falkra, un as de la désinfection.

Ta machine est en cours de traitement là bas en même temps ?

 

Ne touche pas aux lignes, si tu viens demander des conseils, c'est pour être guidé, ne fais pas 50 trucs directement. Au mieux ça ne sert pas, au pire ça cause des désagréments.

 

Si tu ne fais pas suivre ton PC ailleurs, passe à la partie Gmer, comme demandé plus haut stp.

[titAcharnée]

OK ! Je ne touche pas les lignes et suis ta méthode.

[titAcharnée]

Ça fait plus d'une heure que le scan de Gmer est lancé et ce n'est toujours pas fini. Hallucinant !

[Falkra]

Est-ce que tu lis des H8SRTd quelque part ?

[titAcharnée]

Y en a oui! Plus d'une vingtaine.

[Falkra]

OK, tu peux interrompre le scan Gmer si c'est trop long.

 

C'est bon, j'ai l'info qu'il me fallait.

 

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

• Décompresse le fichier
  
• avenger.exe sur le bureau
  

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :

 

drivers to disable:
H8SRTd.sys

drivers to delete:
H8SRTd.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

• Sous "Input Script There", colle le code précédemment copié.
  
• Clique sur Execute
  
• Réponds "Yes" quand demandé.
  

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système.
  
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

----------------------

 

Ne fais ce qui suit qu'après la partie Avenger.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

[titAcharnée]

Est-ce que c'est mieux de faire cette manip' en mode sans échec ou pas?

Je te poste le résultat de The Avenger avant d'attaquer CommboFix ? Ou je peux le faire sans attendre que tu vois le résultat d'Avenger?