[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +

[sharleen*]

Bonsoir Thanos.

 

J'ajoute ce post pour t'informer de quelque chose de nouveau (.. enfin, tout change selon les jours) :

 

- le compte GMX que j'ai affiche ce soir "contacts" en allemand et sur IE (au singulier) et sur le FAI (au pluriel) ;

c'est du reste lors de la navigation (forum et BAL et un autre site) par la connection au FAI que des pubs en allemand sont apparues).

 

Par ailleurs :

- sur le FAI (où je ne naviguais que rarement quand j'avais encore Mozilla), j'ai paramétré "bloquer les pop-ups et les animations" pour GMX et aol.com : ça ne sert à rien..

 

- Le rootkit détecté : cela peut-il poser problème pour les cartes bancaires ?

= je ne sais pas depuis quand c'est là.

 

Merci

 

P.S. Excuse-moi de t'encombrer peut-être, mais dans le doute, je te signale encore ceci sur lequel je viens de tomber par hasard (en cherchant autre chose ; je n'ai pas eu de pb de connexion).

Cela ne l'a pas fait les autres jours, par contre aujourd'hui, il y a plusieurs avertissements identiques.

 

 

Type de l'événement : Avertissement

Source de l'événement : Tcpip

Catégorie de l'événement : Aucun

ID de l'événement : 4226

Date : 22/04/2010

Heure : 21:19:01

Utilisateur : N/A

Ordinateur : YORKMOBILE

Description :

TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées.

 

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

Données :

0000: 00 00 00 00 01 00 54 00 ......T.

0008: 00 00 00 00 82 10 00 80 ......

0010: 01 00 00 00 00 00 00 00 ........

0018: 00 00 00 00 00 00 00 00 ........

0020: 00 00 00 00 00 00 00 00 ........

Modifié le 22 avril 2010 par sharleen*

[sharleen*]

Bonjour Thanos.

 

Un petit "Up" : il semble que tu n'aies pas vu le rapport + post suivant hier soir.

 

[sharleen*]

Pour info :

 

L'historique de Norton a relevé aujourd'hui un Suspicious S.Rootkit et a procédé à la transmission statistique + transmission échantillon à Norton Community Watch.

Détails : C:\Windows\System32\pcandis.5.sys

 

(le problème de tentatives de connexion TCP simultanées recommence aujourd'hui. Et, il se peut que j'ai fait une mauvaise manip, mais quand j'écris, le curseur va ailleurs et "fichier" de la barre d'outils d'IE devient surligné : ?)

[Thanos]

salut,

 

Désolé pour l'attente

- Le rootkit détecté : cela peut-il poser problème pour les cartes bancaires ?

pas de rootkit à l'horizon au vu des rapports de GMER et RootRepeal

L'historique de Norton a relevé aujourd'hui un Suspicious S.Rootkit et a procédé à la transmission statistique + transmission échantillon à Norton Community Watch.

Détails : C:\Windows\System32\pcandis.5.sys

Etonnant que Norton détecte une infection dans ce fichier qui est légitime...

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\Windows\System32\pcandis.5.sys

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

le problème de tentatives de connexion TCP simultanées recommence aujourd'hui.

Dis moi: est ce que tu utilises un logiciel de P2P ?

 

Tente ceci lorsque tu as le message d'erreur =>

 

Lance l'invite de Commandes. Pour cela, va dans le menu Démarrer/Executer et tape : cmd

Valide en cliquant sur OK

Tape cette comande : netstat -ano

Valide en cliquant sur OK

Repère le processus qui apparait le plus dans la liste.

Pour cela, regarde la dernière colonne sur la droite de la fenêtre: les nombres que tu vois correspondent aux PID (Identifiant de processus) => http://www.commentcamarche.net/contents/systemes/PID

Note ce PID puis ouvre le Gestionnaire des tâches de Windows.( clique simultanément sur les touches CTRL+ALT+SUPPR)

Repère à quoi correspond ce processus, et dis le moi dans ta prochaine réponse.

[sharleen*]

Bonjour

 

pas de rootkit à l'horizon au vu des rapports de GMER et RootRepeal

Je ne comprends pas, il y a ceci dans le rapport RootRepeal :

 

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

 

Etonnant que Norton détecte une infection dans ce fichier qui est légitime...

Oui : je ne savais pas qu'il était légitime, mais j'ai relevé hier et avant-hier d'autres transmissions statistiques IPS que Norton avait relevées... HijackThis, alors que d'ordinaire il le détecte simplement.

Norton a aussi relevé un éventuel pb avec les pages jaunes (Hardisk\Volume) avec les webcams et également une des signatures bizarres (pour moi) des éditeurs différents de Mozilla lorsque j'avais voulu le télécharger.

Donc Norton relève des choses peut-être pas toujours pertinentes : ?

 

Dis moi: est ce que tu utilises un logiciel de P2P ?

Pas du tout.

 

Tape cette comande : netstat -ano

Je ferai cette manip. tout à l'heure, mais je t'informe que je l'avais effectuée la semaine dernière sur le conseil de Tibonhomme et que ce qui apparaît dans le panneau noir est décalé et difficilement lisible.

 

@+

Modifié le 24 avril 2010 par sharleen*

[Thanos]

re

 

Donc Norton relève des choses peut-être pas toujours pertinentes : ?

Je connais mal les produits Norton, mais il est fort possible qu'un réglage de l'heuristique soit nécéssaire pour éviter un trop grand nombre de faux-positifs (mauvais détections). Je te rassure, tous les antivirus font de fausses détections de temps à autre!

 

Je ne comprends pas, il y a ceci dans le rapport RootRepeal :

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

Je suis étonné que GMER n'ait rien vu et je me demandais si ce n'est pas une détection erronée...! On va vérifier comme ceci =>

 

Désactive temporairement ton antivirus et effectue cette manip (c'est rapide!) =>

 

• Télécharge mbr.exe de Gmer sur le Bureau depuis ce lien
  
• Désactive tes protections et coupe la connexion le temps du scan.
  
• Double-clique sur mbr.exe pour lancer le programme.
  
• Un rapport nommé mbr.log sera généré: poste son contenu stp.
  

 

Pense à scanner le fichier pcandis.5.sys et poster le rapport.

 

@+ tard

[sharleen*]

Désactive tes protections et coupe la connexion le temps du scan.

 

Excuse-moi : tu veux bien dire qu'il faut que je coupe la connexion à la box AOL ?

 

Je n'oublie pas virustotal, j'y allais de ce pas

 

@+ tard

[sharleen*]

Rapport Virustotal :

 

(je peux lire maintenant que le service a été stoppé : je n'ai pas vu le formulaire pour un envoi ultérieur de l'analyse : ?)

 

 

Fichier PCANDIS5.sys reçu le 2010.04.24 11:53:54 (UTC)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

 

 

Résultat: 1/41 (2.44%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: ___.

L'heure estimée de démarrage est entre ___ et ___ .

Ne fermez pas la fenêtre avant la fin de l'analyse.

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:

 

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.04.24 -

AhnLab-V3 5.0.0.2 2010.04.24 -

AntiVir 8.2.1.224 2010.04.23 -

Antiy-AVL 2.0.3.7 2010.04.23 -

Authentium 5.2.0.5 2010.04.24 -

Avast 4.8.1351.0 2010.04.24 -

Avast5 5.0.332.0 2010.04.24 -

AVG 9.0.0.787 2010.04.24 -

BitDefender 7.2 2010.04.24 -

CAT-QuickHeal 10.00 2010.04.23 -

ClamAV 0.96.0.3-git 2010.04.24 -

Comodo 4675 2010.04.24 -

DrWeb 5.0.2.03300 2010.04.24 -

eSafe 7.0.17.0 2010.04.22 Win32.DNSChanger.ewf

eTrust-Vet 35.2.7448 2010.04.24 -

F-Prot 4.5.1.85 2010.04.24 -

F-Secure 9.0.15370.0 2010.04.24 -

Fortinet 4.0.14.0 2010.04.21 -

GData 21 2010.04.24 -

Ikarus T3.1.1.80.0 2010.04.24 -

Jiangmin 13.0.900 2010.04.24 -

Kaspersky 7.0.0.125 2010.04.24 -

McAfee 5.400.0.1158 2010.04.24 -

McAfee-GW-Edition 6.8.5 2010.04.23 -

Microsoft 1.5703 2010.04.24 -

NOD32 5055 2010.04.24 -

Norman 6.04.11 2010.04.24 -

nProtect 2010-04-24.01 2010.04.24 -

Panda 10.0.2.7 2010.04.23 -

PCTools 7.0.3.5 2010.04.24 -

Prevx 3.0 2010.04.24 -

Rising 22.44.05.04 2010.04.24 -

Sophos 4.53.0 2010.04.24 -

Sunbelt 6215 2010.04.24 -

Symantec 20091.2.0.41 2010.04.24 -

TheHacker 6.5.2.0.268 2010.04.23 -

TrendMicro 9.120.0.1004 2010.04.24 -

TrendMicro-HouseCall 9.120.0.1004 2010.04.24 -

VBA32 3.12.12.4 2010.04.23 -

ViRobot 2010.4.24.2293 2010.04.24 -

VirusBuster 5.0.27.0 2010.04.23 -

Information additionnelle

File size: 17134 bytes

MD5...: 2f9806b52cb3748b1e49222744b28e3c

SHA1..: 752d4f3195842208ba0b59c0b2f28cd6ba529c8e

SHA256: f48b828bd8d2581fa97e78af569d6444bff2e00e915182b4b1e9998f006c5767

ssdeep: 192:p2S/rxTUhc2RTXOshVoqoKE91T4Zpxs5UgtXOjwjHqokAfG9MJxjLBNbPKa:

p2S72h9cVDaZCRk0j9HyOxJxv

 

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3c2

timedatestamp.....: 0x3ccccb3f (Mon Apr 29 04:25:35 2002)

machinetype.......: 0x14c (I386)

 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x2c0 0x2ac4 0x2ae0 6.41 cb0bf8daad3150ad6f9fb3507df8fa83

.rdata 0x2da0 0x18c 0x1a0 3.36 35e0bb489ca4ea110878c72e222ee279

.data 0x2f40 0x68 0x80 2.26 65403084ed05d7ffea78a6898a2cd203

INIT 0x2fc0 0x6d6 0x6e0 5.18 d5dce85b4d31aa12edca152b8bc7b63f

.rsrc 0x36a0 0x418 0x420 3.41 0b232c133319a9a6df43504c18331e15

.reloc 0x3ac0 0x2b4 0x2c0 5.57 c56e3ad9fe679d19d69e659b5d1d93a8

 

( 3 imports )

> ntoskrnl.exe: ExFreePool, IoDeleteSymbolicLink, IoCreateSymbolicLink, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, _except_handler3, DbgPrint, IoReleaseCancelSpinLock, ExInterlockedAddLargeStatistic, InterlockedExchange, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoIsWdmVersionAvailable, IoCreateDevice, ExAllocatePoolWithTag, RtlAppendUnicodeToString

> HAL.dll: KeQueryPerformanceCounter

> NDIS.SYS: NdisFreePacket, NdisUnchainBufferAtFront, NdisFreeBuffer, NdisInitAnsiString, NdisCloseAdapter, NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisSetEvent, NdisFreeSpinLock, NdisFreeBufferPool, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateSpinLock, NdisInitializeEvent, NdisFreeMemory, NdisAllocateMemory, NdisRequest, NdisUnicodeStringToAnsiString, NdisSend, NdisAcquireSpinLock, NdisInterlockedRemoveHeadList, NdisReleaseSpinLock, NdisGetCurrentSystemTime, NdisInitUnicodeString, NdisRegisterProtocol, NdisDeregisterProtocol, NdisAllocateBuffer, NdisAllocatePacket, NDIS_BUFFER_TO_SPAN_PAGES, NdisQueryBufferOffset, NdisInterlockedInsertTailList, NdisTransferData

 

( 0 exports )

 

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: Printing Communications Assoc., Inc. (PCAUSA)

copyright....: Copyright © 1995-2002 Printing Communications Assoc., Inc. (PCAUSA)

product......: PCAUSA Rawether for Windows

description..: PCAUSA NDIS 5.0 Protocol Driver

original name: PCANDIS5.SYS

internal name: PCANDIS5.SYS

file version.: 5.03.16.54

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

[sharleen*]

A nouveau avertissement du journal d'évènements-système ce jour ; j'ai procédé à la manipulation indiquée :

 

Le processus le plus en bas de page dans la liste est :

UDP 192.168.2.126:6001 2820

 

2820 : spnsrvnt.exe ; 1 081 erreurs de page ; utilisateur : System

[sharleen*]

Rapport mbr :

 

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK