[Résolu] infection TR/Crypt.ZPACK.Gen tdlcmd.dll

noshitheel · le 28 décembre 2009

Bonsoir,

J'ai la chance (humhum) d'avoir été infecté par le TR/Crypt.ZPACK.Gen.

J'ai bien Avira comme antivirus. Une fois la machine bootée, je reçois un pop-up d'antivir concernant tdlcmd et le fameux vers.

J'ai suivi la précédure, j'ai lancé un "hijack this" et voici le résultat:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:17:24, on 28/12/2009

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Tools\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\web\NetMeter\NetMeter.exe

C:\Program Files\Tools\RMClock\RMClock.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\noshitheel\Documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Tools\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [C:\Program Files\web\NetMeter\NetMeter.exe] C:\Program Files\web\NetMeter\NetMeter.exe

O4 - Startup: RMClock.lnk = ?

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Tools\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Tools\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Tools\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Tools\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

--

End of file - 3964 bytes

D'avance merci pour votre aide,

Bàv,

Noshitheel

Modifié le 5 janvier 2010 par noshitheel

Falkra · le 29 décembre 2009

Bonjour, bienvenue.

Messages : 1

Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts :

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
Fais redémarrer ton PC

noshitheel · le 29 décembre 2009

Bonsoir, et merci de prendre le temps de m'aider.

J'ai profité de mon temps libre au boulot pour lire les liens que tu m'avais fourni

Je viens de faire ce que tu m'as dit et donc voici le rapport de TDSSKiller.

19:40:23:524 3400 TDSSKiller 2.1.1 Dec 20 2009 02:40:02

19:40:23:524 3400 ================================================================================

19:40:23:524 3400 SystemInfo:

19:40:23:524 3400 OS Version: 6.0.6002 ServicePack: 2.0

19:40:23:524 3400 Product type: Workstation

19:40:23:524 3400 ComputerName: NOSHLP

19:40:23:524 3400 UserName: noshitheel

19:40:23:524 3400 Windows directory: C:\Windows

19:40:23:524 3400 Processor architecture: Intel x86

19:40:23:524 3400 Number of processors: 2

19:40:23:524 3400 Page size: 0x1000

19:40:23:524 3400 Boot type: Normal boot

19:40:23:524 3400 ================================================================================

19:40:23:540 3400 ForceUnloadDriver: NtUnloadDriver error 2

19:40:23:540 3400 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\Drivers\KLMD.sys) returned status 0

19:40:23:540 3400 main: Driver KLMD successfully dropped

19:40:23:618 3400 main: Driver KLMD successfully loaded

19:40:23:618 3400

Scanning Registry ...

19:40:23:634 3400 ScanServices: Searching service UACd.sys

19:40:23:634 3400 ScanServices: Open/Create key error 2

19:40:23:634 3400 ScanServices: Searching service TDSSserv.sys

19:40:23:634 3400 ScanServices: Open/Create key error 2

19:40:23:634 3400 ScanServices: Searching service gaopdxserv.sys

19:40:23:634 3400 ScanServices: Open/Create key error 2

19:40:23:634 3400 ScanServices: Searching service gxvxcserv.sys

19:40:23:649 3400 ScanServices: Open/Create key error 2

19:40:23:649 3400 ScanServices: Searching service MSIVXserv.sys

19:40:23:649 3400 ScanServices: Open/Create key error 2

19:40:23:649 3400 UnhookRegistry: Kernel module file name: C:\Windows\system32\ntkrnlpa.exe, base addr: 8240C000

19:40:23:758 3400 UnhookRegistry: Kernel local addr: 1FF0000

19:40:23:758 3400 UnhookRegistry: KeServiceDescriptorTable addr: 2127B00

19:40:23:852 3400 UnhookRegistry: KiServiceTable addr: 209C82C

19:40:23:852 3400 UnhookRegistry: NtEnumerateKey service number (local): 85

19:40:23:852 3400 UnhookRegistry: NtEnumerateKey local addr: 21ED0BA

19:40:23:868 3400 KLMD_OpenDevice: Trying to open KLMD device

19:40:23:868 3400 KLMD_GetSystemRoutineAddressA: Trying to get system routine address ZwEnumerateKey

19:40:23:868 3400 KLMD_GetSystemRoutineAddressW: Trying to get system routine address ZwEnumerateKey

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x82454D19[0x4]

19:40:23:868 3400 UnhookRegistry: NtEnumerateKey service number (kernel): 85

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x824B8A40[0x4]

19:40:23:868 3400 UnhookRegistry: NtEnumerateKey real addr: 826090BA

19:40:23:868 3400 UnhookRegistry: NtEnumerateKey calc addr: 826090BA

19:40:23:868 3400 UnhookRegistry: No SDT hooks found on NtEnumerateKey

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x826090BA[0xA]

19:40:23:868 3400 UnhookRegistry: No splicing found on NtEnumerateKey

19:40:23:868 3400

Scanning Kernel memory ...

19:40:23:868 3400 KLMD_OpenDevice: Trying to open KLMD device

19:40:23:868 3400 KLMD_GetSystemObjectAddressByNameA: Trying to get system object address by name \Driver\Disk

19:40:23:868 3400 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

19:40:23:868 3400 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 85C0FAE8

19:40:23:868 3400 DetectCureTDL3: KLMD_GetDeviceObjectList returned 1 DevObjects

19:40:23:868 3400 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 85BBBAC8

19:40:23:868 3400 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85BBBAC8

19:40:23:868 3400 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 85AAF8F0

19:40:23:868 3400 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85AAF8F0

19:40:23:868 3400 DetectCureTDL3: 0 Curr stack PDEVICE_OBJECT: 85AAB930

19:40:23:868 3400 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85AAB930

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x85AAB930[0x38]

19:40:23:868 3400 DetectCureTDL3: DRIVER_OBJECT addr: 85AAA8B0

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x85AAA8B0[0xA8]

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x859F6D40[0x208]

19:40:23:868 3400 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

19:40:23:868 3400 DetectCureTDL3: IrpHandler (0) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (1) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (2) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (3) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (4) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (5) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (6) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (7) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler ( addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (9) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (10) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (11) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (12) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (13) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (14) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (15) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (16) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (17) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (18) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (19) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (20) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (21) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (22) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (23) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (24) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (25) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: IrpHandler (26) addr: 831269B0

19:40:23:868 3400 DetectCureTDL3: All IRP handlers pointed to one addr: 831269B0

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x831269B0[0x400]

19:40:23:868 3400 TDL3_IrpHookDetect: TDL3 Stub signature found, trying to get hook true addr

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0xFFDF0308[0x4]

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x85AAA27C[0x4]

19:40:23:868 3400 TDL3_IrpHookDetect: New IrpHandler addr: 87530F61

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x87530F61[0x400]

19:40:23:868 3400 TDL3_IrpHookDetect: CheckParameters: 10, FFDF0308, 510, 134, 3, 120

19:40:23:868 3400 Driver "atapi" Irp handler infected by TDSS rootkit ... 19:40:23:868 3400 KLMD_WriteMem: Trying to WriteMemory 0x87530FE7[0xD]

19:40:23:868 3400 cured

19:40:23:868 3400 KLMD_ReadMem: Trying to ReadMemory 0x0[0x400]

19:40:23:868 3400 KLMD_ReadMem: DeviceIoControl error 1

19:40:23:868 3400 TDL3_StartIoHookDetect: Unable to get StartIo handler code

19:40:23:868 3400 TDL3_FileDetect: Processing driver: atapi

19:40:23:868 3400 TDL3_FileDetect: Parameters: C:\Windows\system32\drivers\atapi.sys, C:\Windows\system32\Drivers\atapi.tsk, SYSTEM\CurrentControlSet\Services\atapi, system32\Drivers\atapi.tsk

19:40:23:868 3400 TDL3_FileDetect: Processing driver file: C:\Windows\system32\drivers\atapi.sys

19:40:23:868 3400 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\atapi.sys

19:40:23:883 3400 File C:\Windows\system32\drivers\atapi.sys infected by TDSS rootkit ... 19:40:23:883 3400 TDL3_FileCure: Processing driver file: C:\Windows\system32\drivers\atapi.sys

19:40:23:883 3400 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\atapi.sys

19:40:23:883 3400 TDL3_FileCure: Dumping cured buffer to file C:\Windows\system32\Drivers\atapi.tsk

19:40:24:055 3400 TDL3_FileCure: Image path (system32\Drivers\atapi.tsk) was set for service (SYSTEM\CurrentControlSet\Services\atapi)

19:40:24:055 3400 TDL3_FileCure: KLMD_PendCopyFileW (C:\Windows\system32\Drivers\atapi.tsk, C:\Windows\system32\drivers\atapi.sys) success

19:40:24:055 3400 will be cured on next reboot

19:40:24:070 3400

Completed

Results:

19:40:24:070 3400 Infected objects in memory: 1

19:40:24:070 3400 Cured objects in memory: 1

19:40:24:070 3400 Infected objects on disk: 1

19:40:24:070 3400 Objects on disk cured on reboot: 1

19:40:24:070 3400 Objects on disk deleted on reboot: 0

19:40:24:070 3400 Registry nodes deleted on reboot: 0

19:40:24:070 3400

J'ai redémarré mon pc, là ça fait 30 minutes qu'il tourne, et toujours aucune alerte de Antivir.

D'habitude ça arrivé dans les 5 premières minutes.

Ce n'est peut-être pas fini, mais je te remercie déjà pour l'aide fournie

Falkra · le 29 décembre 2009

Ca doit aller mieux !

On vérifie 2-3 choses.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre.
A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.

noshitheel · le 29 décembre 2009

Je viens de voir ton message en faisant un petit check avant d'aller dormir.

Je fait ça demain soir et te poste le rapport, now c'est dodo-time

Bonne nuit!

noshitheel · le 30 décembre 2009

Bonsoir,

J'ai lancer MBAM et il viens de se terminer.

Voici le rapport :

Malwarebytes' Anti-Malware 1.43

Version de la base de données: 3458

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

30/12/2009 22:27:13

mbam-log-2009-12-30 (22-27-13).txt

Type de recherche: Examen rapide

Eléments examinés: 98099

Temps écoulé: 5 minute(s), 24 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):