Infection tidserv [résolu]

[Apollo]

Grrr, je cherche, mais je n'ai encore rien trouvé sur la façon de restaurer un fichier de la quarantaine de CureIt.

 

Ce fichier ne doit pas y rester sinon plus de démarrage.

 

Je continue mes recherches.

 

++

[jul&kn]

Dernier rapport VRT

(Il est normal qu'il ait trouvé deux fichier MBR, car je l'avais copier-coller pour qu'il retourne dans C:\ mais il en existait encore une copie en quarantaine, maintenant c'est comme il le faut, mais toujours contaminé et toujours pas nettoyé

Modifié le 23 mai 2011 par jul&kn

[jul&kn]

J'ai eu un gros soucis de lenteur de connexion lorsque j'ai voulu envoyé le MBR compressé à MoJac.

Est-ce que tu pourras lui faire suivre Apollo?

Merci

[Apollo]

Oui, mais le fichier que tu as compressé fait zéro octets; c'est celui de 512 qu'il faudrait.

 

Je l'ai décompressé dans ma Sandbox est il est vide.

Regarde un peu dans la quarantaine de drweb s'il y a un fichier de 512 octets stp.

 

C'est le fichier mbr de cette taille dont nous avons besoin pour les remonter aux experts.

 

@++

[MoJac]

Bonjour jul&kn et Apollo,

 

Avant de passer à l'attaque je te propose de faire encore quelques vérifications et sauvegardes de ton environnement technique:

 

- Mets de coté (sur un autre support, une clé USB par exemple) le fichier obtenu par OTLPE: Physical0MBR.bin; Il est pollué mais "fonctionnel" au sens ou il permet quand même de booter la machine.

 

- Vérification de la présence de la partition de sauvegarde (recovery) de ton système;

 

• Clic sur démarrer (le globe Vista) et dans la fenêtre recherche tape Exécuter.
  
• Clic droit et exécuter en tant qu'administrateur sur "Exécuter" qui apparait en haut de la fenêtre de recherche.
   
  
   
  
• Ensuite dans la fenêtre qui s'ouvre tape compmgmt.msc
   
  
   
  
• Clique sur Gestion des disques comme indiqué sur l'image:
   
  
   
  
• Fais une copie d'écran, sauve l'image en format .jpg et charge cette image via Xoo Image par exemple et poste le lien "code de forum" que tu obtiendras

 

- Nouvelle sauvegarde de ton MBR et vérifications complémentaires:

 

Télécharge MBRBackup sur ton bureau et lance le (double clic).

ou clic droit et exécuter en tant qu'administrateur si tu es sous Vista/Sept

 

Clique en haut à gauche sur "Save MBR"

 

 

Enregistre le rapport sur le bureau Il sera de la forme (MBR_date.bin)

 

 

 

- Sauvegarde aussi cette copie de MBR sur ta clé (MBR_date.bin).

 

- Relance MBRBackup, sélectionne l'onglet "View Partition table" poste le contenu ou l'image de copie d'écran.

 

- Refais un scan VirusTotal de ce nouveau fichier obtenu via MBRBackup: le but de cette nouvelle manip est de vérifier que cette copie est bien celle contaminée et non un MBR sain présenté par le système de camouflage du rootkit. C'est important pour la suite.

 

- Garde à porté de la main ton CD de OTLPE on risque de l'utiliser.

 

A plus

Modifié le 23 avril 2011 par MoJac

[jul&kn]

Bonsoir MoJac et Apollo,

 

Désolée de ne faire ces manipulations que si tard, mais depuis deux jours, j'ai eu d'autres choses à régler.

 

Tout d'abord voilà le lien vers la 'gestion de disque'

 

C'est très étrange car aucun disque n'apparait... mais lorsque je regarde par poste de travail, voici de que j'ai...

 

Je n'y comprends pas grand chose!

 

Voilà ce que me donne 'View Partition table' dans MBR backup

Partition table for \\.\PhysicalDrive0

 

# Boot StartCyl StartHead StartSect EndCyl EndHead EndSect RelSect TotSect Type

0 Yes 1 1 0 1023 254 63 63 372948912 NTFS

1 No 961 0 63 1023 254 63 372948975 17767890 NTFS

2 No 0 0 0 0 0 0 0 0 Unknown file system

3 No 0 0 0 0 0 0 0 0 Unknown file system

 

 

# : Partition number

Boot : Is this partition marked as bootable?

StartCyl : Start cylinder

StartHead : Start head

StartSect : Start sector

EndCyl : End cylinder

EndHead : End head

EndSect : End sector

RelSect : Number of sectors between MBR and first sector of the partition

TotSect : Total number of sectors in partition

Type : Type of partition

 

 

Je lance maintenant l'analyse Virus Total

[jul&kn]

OK, de plus en plus étrange

Virus total a considéré ce fichier comme déjà analysé (?) et lorsque j'ai redemandé une analyse le fichier ne semble pas contaminé

Voila le rapport

 

Antivirus Version Last Update Result

AhnLab-V3 2011.04.24.01 2011.04.23 -

AntiVir 7.11.6.252 2011.04.23 -

Antiy-AVL 2.0.3.7 2011.04.23 -

Avast 4.8.1351.0 2011.04.23 -

Avast5 5.0.677.0 2011.04.23 -

AVG 10.0.0.1190 2011.04.23 -

BitDefender 7.2 2011.04.23 -

CAT-QuickHeal 11.00 2011.04.23 -

ClamAV 0.97.0.0 2011.04.23 -

Commtouch 5.3.2.6 2011.04.23 -

Comodo 8449 2011.04.23 -

DrWeb 5.0.2.03300 2011.04.23 -

Emsisoft 5.1.0.5 2011.04.23 -

eSafe 7.0.17.0 2011.04.22 -

eTrust-Vet 36.1.8286 2011.04.22 -

F-Prot 4.6.2.117 2011.04.23 -

F-Secure 9.0.16440.0 2011.04.23 -

Fortinet 4.2.257.0 2011.04.23 -

GData 22 2011.04.23 -

Ikarus T3.1.1.103.0 2011.04.23 -

Jiangmin 13.0.900 2011.04.23 -

K7AntiVirus 9.98.4458 2011.04.23 -

Kaspersky 7.0.0.125 2011.04.23 -

McAfee 5.400.0.1158 2011.04.23 -

McAfee-GW-Edition 2010.1D 2011.04.23 -

Microsoft 1.6802 2011.04.23 -

NOD32 6066 2011.04.23 -

Norman 6.07.07 2011.04.23 -

Panda 10.0.3.5 2011.04.23 -

PCTools 7.0.3.5 2011.04.21 -

Prevx 3.0 2011.04.23 -

Rising 23.54.05.03 2011.04.23 -

Sophos 4.64.0 2011.04.23 -

SUPERAntiSpyware 4.40.0.1006 2011.04.23 -

Symantec 20101.3.2.89 2011.04.23 -

TheHacker 6.7.0.1.180 2011.04.23 -

TrendMicro 9.200.0.1012 2011.04.23 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.23 -

VBA32 3.12.16.0 2011.04.22 -

VIPRE 9098 2011.04.23 -

ViRobot 2011.4.23.4426 2011.04.23 -

VirusBuster 13.6.318.3 2011.04.23 -

 

Je serai beaucoup plus en ligne demain

Merci encore

Modifié le 23 avril 2011 par jul&kn

[MoJac]

Bonjour jul&kn et Apollo,

 

...le fichier ne semble pas contaminé

 

c'est une hypothèse qu'on veut vérifier: TDL4 présente un MBR sain à toute requête réalisée depuis Windows "rootkité".

 

Il faut vérifier que ce MBR est complet (avec la table de partitions). Peux tu remonter le fichier sur un serveur comme tu l'as déjà fait pour le MBR contaminé.

 

Ce fichier n'a à priori rien de confidentiel et tu peux mettre le lien sur le forum; Cela permettra éventuellement de multiplier les chances de vérification.

 

Nous travaillons sur plusieurs hypothèses. On progresse doucement - ce n'est pas encore gagné.

 

A plus

Modifié le 24 avril 2011 par MoJac

[jul&kn]

Bonjour MoJac et Apollo,

 

Voici le lien vers le fichier MBR cree par MBRBackup. Pour être certaine de ne pas faire de bétise (dans le doute qu'il ne soit infecté), j'ai protégé le fichier dans son archive zip par le même mot de passe que pour le précédent.

Ce fichier est toujours sur mon bureau, j'en ai une copie sur USB. L'autre est toujours sur C:\ avec une copie sur USB également.

 

Cijoint.fr - Service gratuit de dépôt de fichiers

[MoJac]

Bonjour jul&kn et Apollo,

 

Bon la table de partition est identique dans les 2 versions, donc cela devrait aller.

 

Nous allons utiliser une méthode déja éprouvée pour ce genre de manip en environnement Reatogo (merci à jeanmimigab)

 

1) Manip préparatoires:

 

Vérifie bien que le fichier du MBR sain que nous avons obtenu hier est bien orhographié: MBR_2011-04-23.bin

 

- Supprime la version actuelle de ComboFix qui est sur ton bureau, puis retélécharge une nouvelle mouture de ComboFix.

- Même chose avec TDSSKiller.

- Copie le fichier MBR_2011-04-23.bin qui est sur ton bureau directement sous C:\

 

Ensuite:

 

Afin d'éviter des manip au clavier avec un clavier QWERTY, qui peut être source d'erreur, nous allons faire un peu de préparation:

 

• Ouvre le blocnote et copie cette commande:
   
  MbrFix /drive 0 restorembr c:\MBR_2011-04-23.bin
   
  /!\ Attention vérifie bien que c'est le nom exact du fichier sain
   
  
• Sauve ce fichier sous C:\ avec le Nom MbrFix.txt

 

2) Restoration du MBR:

 

- Mets le CD OTLPE déja utilsé dans ta machine et reboot dessus.

- Patiente que l'environnement Reatogo se charge - c'est très lent !

- Avec l'explorateur ouvre le fichier MbrFix.txt et sélectionne et copie (Cntrl+c) la commande:

 

 

- Double clic sur l'icone MBRFix qui se trouve sur le bureau (écran noir avec C:\).

- clic droit sur le bandeau superieur de la fenêtre de commande qui s'ouvre puis clic sur edit puis paste

 

 

- Tu dois avoir l'écran suivant:

 

 

- Valide par Entrée, puis répondre "y" à la question "you are about to restore MBR, are you sure ?", tu obtiens ceci:

 

 

- Retire le CD et redémarre ta machine.

 

3) Recherches complémentaires en vue d'éviter une réinfection éventuelle:

 

- Dés que tu as accès à ta machine clic droit sur Combofix et exécuter en tant qu'administrateur.

 

- idem avec TDSSKiller

 

Poste les rapports obtenus et donne nous des nouvelles sur le comportement de la machine ...

 

A plus

Edit: suppression erreur dans la commande ...

Modifié le 24 avril 2011 par MoJac