[Résolu] Dossiers xxxx.tmp créés en continu

[Dersou1]

Et voici le fichier GMer :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-13 19:56:46

Windows 5.1.2600 Service Pack 3

Running: Rkl305.exe; Driver: C:\DOCUME~1\Rkl305\LOCALS~1\Temp\kgrcyaog.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT EE34E1C6 ZwCreateKey

SSDT EE34E1BC ZwCreateThread

SSDT EE34E1CB ZwDeleteKey

SSDT EE34E1D5 ZwDeleteValueKey

SSDT EE34E1DA ZwLoadKey

SSDT EE34E1A8 ZwOpenProcess

SSDT EE34E1AD ZwOpenThread

SSDT EE34E1E4 ZwReplaceKey

SSDT EE34E1DF ZwRestoreKey

SSDT EE34E1D0 ZwSetValueKey

SSDT EE34E1B7 ZwTerminateProcess

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

 

 

Je crois que tu en es venu à bout

Cela fait plus de 10 minutes maintenant que le PC est en fonction et il n'y a plus de dossier xxxx.tmp dans le dossier Windows\temp

Félicitation !!!

Et surtout, Merci :P

[WawaSeb]

Bonjour Dersou1,

 

*** Il y a du mieux dans ton rapport de GMER, effectivement, mais ceci ne me plait quand même pas trop : ***

 

SSDT EE34E1C6 ZwCreateKey

SSDT EE34E1E4 ZwReplaceKey

SSDT EE34E1DF ZwRestoreKey

SSDT EE34E1D0 ZwSetValueKey

--> Il pourrait trahir une tentative du rootkit de ce regénérer...

--> Un peu de lecture sur la SSDT : http://fr.wikipedia.org/wiki/System_Service_Dispatch_Table

 

 

1) Clique sur Démarrer, puis sur Exécuter

• Tape combofix /uninstall et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important
  
  

 

 

2) Télécharge Flash Disinfector de sUBS

• Enregistre-le sur ton bureau
  
• Insère tous tes supports USB (y compris l'appareil de ta fille)
  
• Double-clique sur le fichier téléchargé pour le lancer (les icônes disparaissent un moment, c'est normal !)
  

Note : Cette manipulation va vacciner tes disques amovibles et créer des fichiers tout petits à la racine de ceux-ci !

 

 

Si ton bureau reste vide après 2 minutes :

--> Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

 

 

3) Télécharge une nouvelle copie de Combofix, désactive AntiVir, ferme les fenêtre, déconnecte-toi d'Internet et exécute-le.

 

 

Bonne journée !

[Dersou1]

Ok, je fais tout cela ce soir.

Juste une question, j'ai installé Usb-set sur le PC et activé toute ses défenses (résident, non reconnaissance auto des supports, ...)

Usb-set vaccine également l'ensemble des supports.

Est ce que le Flash désinfector n'est pas redondant ?

 

A te lire.

[Dersou1]

J'ai du désactiver Avira pour pouvoir télécharger et exécuter Flash Disinfector de sUBS.

Tout s'est bien passé et le bureau est revenu tout seul.

Par contre, je ne sais s'il a fait quelque chose aux clef usb préalablement vaccinées par Usb-Set ?

 

Ci dessous, le rapport ComboFix :

 

ComboFix 10-04-12.06 - Rkl305 14/04/2010 11:13:23.4.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.595 [GMT 2:00]

Lancé depuis: c:\documents and settings\Rkl305\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-08 17:57 . 2010-04-08 22:36 -------- d-----w- C:\Papa

2010-04-06 20:39 . 2010-04-13 18:12 -------- d-----w- c:\documents and settings\All Users\Application Data\usb-set

2010-04-06 20:39 . 2010-04-13 18:09 -------- d-----w- c:\program files\USB-set

2010-04-06 18:21 . 2010-04-06 18:21 -------- d-----w- c:\documents and settings\Rkl305\Application Data\Malwarebytes

2010-04-06 18:20 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-06 18:20 . 2010-04-06 18:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-04-06 18:20 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-06 17:24 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL

2010-04-06 17:24 . 2010-04-06 17:24 -------- d-----w- c:\program files\Fichiers communs\Borland Shared

2010-03-31 17:26 . 2010-03-31 17:28 -------- d-----w- c:\documents and settings\Rkl305\Local Settings\Application Data\Temp

2010-03-31 16:30 . 2010-04-14 08:50 -------- d-----w- c:\documents and settings\Rkl305\Tracing

2010-03-31 16:24 . 2010-03-31 16:24 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-31 16:21 . 2010-03-31 16:21 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-14 08:57 . 2009-03-13 10:27 81816 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-14 08:57 . 2009-03-13 10:27 502688 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-11 12:57 . 2009-12-24 18:45 -------- d-----w- c:\program files\Utilities

2010-04-09 07:00 . 2009-06-09 03:24 60672 ----a-w- c:\documents and settings\Rkl305\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-04-09 06:03 . 2009-12-25 11:09 -------- d-----w- c:\program files\Microsoft Silverlight

2010-04-08 21:31 . 2009-03-13 02:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-03-31 16:21 . 2009-03-13 02:49 -------- d-----w- c:\program files\Google

2010-02-25 06:17 . 2009-03-13 10:27 916480 ------w- c:\windows\system32\wininet.dll

2010-02-12 10:03 . 2010-04-11 11:10 293376 ----a-w- c:\windows\system32\browserchoice.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-11-17 135168]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-05 1430824]

"avgnt"="c:\program files\Utilities\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-3-13 565248]

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-11-1 576104]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Rkl305^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]

backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]

2006-01-25 10:45 53248 ----a-w- c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-14 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

2009-03-13 02:49 24064 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]

2008-04-15 16:54 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2008-02-28 01:00 141848 ----a-w- c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

2008-12-30 07:09 875016 ----a-w- c:\progra~1\LAUNCH~1\LManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-02-28 01:00 137752 ----a-w- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2009-02-24 07:40 17529856 ----a-w- c:\windows\RTHDCPL.EXE

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Utilities\\Assistant\\DSAssistant.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Utilities\Avira\AntiVir Desktop\sched.exe [24/12/2009 20:48 108289]

R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [13/03/2009 05:16 237568]

R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [04/03/2009 05:03 49664]

R3 M3000Srv;USB2.0 UVC WebCam Driver;c:\windows\system32\drivers\M3000KNT.sys [25/03/2009 06:52 145408]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/03/2010 18:21 135664]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/03/2009 04:37 1684736]

S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [13/03/2009 04:49 24064]

S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [13/03/2009 04:35 162816]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Contenu du dossier 'Tâches planifiées'

 

2010-04-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 16:21]

 

2010-04-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 16:21]

 

2010-04-14 c:\windows\Tasks\User_Feed_Synchronization-{033FC4F9-CA59-488F-B302-0BAA83884A88}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=xph&d=0609&m=aspire_one

uInternet Connection Wizard,ShellNext = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=xph&d=0609&m=aspire_one

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

.

------- Associations de fichier -------

.

txtfile\shell\ab_notepad\command="d:\prog\LiberKeyAmanda\Apps\Notepad++\Notepad++LKL.exe" "%1"

inifile\shell\ab_notepadpp_open\command="d:\prog\LiberKeyAmanda\Apps\Notepad++\Notepad++LKL.exe" "%1"

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-14 11:17

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3376)

c:\windows\system32\btmmhook.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2010-04-14 11:19:00

ComboFix-quarantined-files.txt 2010-04-14 09:18

ComboFix2.txt 2010-04-11 17:06

 

Avant-CF: 139 765 272 576 octets libres

Après-CF: 139 732 357 120 octets libres

 

- - End Of File - - 1713D53F6BAF43130AE8AB78D083D8FD

 

 

Ps : j'ai resynchronisé l'heure du PC, le touchpad ne fonctionne toujours pas...

[WawaSeb]

Bonsoir Dersou1,

 

*** Le rapport de CF est similaire aux précédents... ce qui signifie que rien n'a été remis à priori... ***

 

 

# Le PC génère-t-il encore des fichiers temporaires ?

 

 

Par contre, je ne sais s'il a fait quelque chose aux clef usb préalablement vaccinées par Usb-Set ?

--> Dans le pire des cas, il a re-vacciné les supports, ce qui ne pose aucun problème...

--> Je voulais être certain que c'était "OK" pour le matériel de ta fille.

 

 

 

Ps : j'ai resynchronisé l'heure du PC, le touchpad ne fonctionne toujours pas...

--> Pourrais-tu me donner le modèle exact de la machine STP ?

 

 

En tous cas, bravo pour ton courage !

[Dersou1]

Il n'y a plus de fichier crées en continu dans windows\temp.

Pour moi, tu as trouvé et vaincu le virus

 

Le PC est un ACER Aspire One D250-OBr

Je suppose qu'il faut réinstaller le driver du touchpad ?

 

Je vais enlever les différents progs que l'on a installé et rendre son PC à ma fille avec quelques recommandations sur l'usage des clefs USB

Usb-set est maintenant installé à demeure sur son PC et toutes les défenses sont activées.

 

Merci encore pour ton aide et bravo pour ta patience avec moi et tes explications très claires :P

[WawaSeb]

Bonjour Dersou1,

 

*** Tu as été victime d'une toute nouvelle infection, très avancée... Bravo à toi ! ***

 

Je suppose qu'il faut réinstaller le driver du touchpad ?

--> A priori oui, mais vérifie avant dans le Panneau de configuration que les options du style "Désactiver le touchpad" ne sont pas cochées...

--> Sinon, rends-toi sur cette page, choisis "Netbook", "Aspire One", "AOD250" et prends celui qui est adapté à ta machine.

 

 

L'infection étant nouvelle, j'aimerais te demander si possible d'envoyer les fichiers responsables...

 

1) Clique avec le bouton droit de ta souris sur le dossier C:\_OTL et choisis Add to archive... puis clique sur OK.

--> Un fichier _OTL.rar se crée dans C:\

 

 

2) Rends-toi sur cette page-ci

• Clique sur Parcourir, retrouve le fichier _OTL.rar (sur ton bureau) et clique sur Ouvrir
  
• Dans le message destiné à l'équipe, tu peux mettre ceci :
  

 

URL de référence : forum.zebulon.fr/dossiers-xxxxtmp-crees-en-continu-t175621.html

Variante probable du nouveau TDSS rootkit, iastor.sys patché et non-détecté par MBAM (merci de faire suivre à S!Ri...)

 

Merci encore à toute l'équipe de MAD !

---------> Merci pour ton aide !

 

 

3) Supprime les dossiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Documents and Settings\Rkl305\Bureau\avenger.zip
  
• C:\Documents and Settings\Rkl305\Bureau\OTL.exe
  
• C:\_OTL.rar
  
• C:\Avenger <-- tout le dossier
  
• C:\_OTL <-- tout le dossier
  

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

4) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour.
   
2. Utilise un compte limité pour surfer : voir cette page (merci JoK) ou Microsoft !
   
3. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections) et prends garde aux extensions.
   
4. Evite les sites douteux, illégaux, pornographiques, ...
   
5. Méfie-toi des programmes gratuits (financés par...)
   
6. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
7. Garde un Antivirus à jour !
   
8. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée et méfie-toi des applications "offertes" sur les réseaux sociaux (FaceBook, Twitter, ...)
   
9. N'ouvre jamais de pièce jointe non prévue dans un mail !
   
10. Ouvre les supports amovibles par clic-droit (choisis "Explorer")
    

 

5) Tu peux éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

• Ouvre ton premier post
  
• Clique sur le bouton Editer ---> Edition complète
  
• Ajoute [Résolu] au titre de ton sujet