[Résolu] Infection de svchost

[Gunthard26]

En faite MBAM se lance au démarrage de Windows. Il me le détecte et le place en quarantaine à ce moment là. J'ai fais la manip indiqué et je viens de lancer l'analyse complète. Je vous posterai le rapport dès qu'il finit.

[Gunthard26]

Voila le rapport suite à une analyse complète

 

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Database version: 8079

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

06/11/2011 12:03:21

mbam-log-2011-11-06 (12-03-21).txt

 

Scan type: Full scan (C:\|D:\|G:\|)

Objects scanned: 437649

Time elapsed: 55 minute(s), 18 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Windows svchost 0x00324 (Trojan.Agent) -> Value: Windows svchost 0x00324 -> Quarantined and deleted successfully.

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

c:\Users\superuser\AppData\Roaming\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Mais aprtés un redemarrage, l'infection demeure:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Database version: 8079

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

06/11/2011 12:35:04

mbam-log-2011-11-06 (12-34-57).txt

 

Scan type: Quick scan

Objects scanned: 193087

Time elapsed: 1 minute(s), 44 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows svchost 0x00324 (Trojan.Agent) -> Value: Windows svchost 0x00324 -> No action taken.

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

c:\Users\superuser\AppData\Roaming\svchost.exe (Trojan.Agent) -> No action taken.

[pear]

Télécharger The Avenger par Swandog46 .

sur le Bureau ou clé bootable.

 

Cliquez Enregistrer

Cliquer sur Bureau ou la clé

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

Vérifiez que la case "Scan for rootkits" est bien décochée.( Elle est cochée par défaut).

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

 

Files to Delete:

C:\Users\Lin's\AppData\Local\wudhost.exe

C:\Users\SuperUser\AppData\Local\wudhost.exe

c:\Users\superuser\AppData\Roaming\svchost.exe

 

Files to move:

c:\WINDOWS\$NtServicePackUninstall$\atapi.sys | C:\WINDOWS\system32\drivers\atapi.sys

 

Registry values to delete:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Windows svchost 0x00324

 

 

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Dans cette fenêtre "Input Script here" , coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).

CliquerExecute

 

le système va redémarrer. (Si le script contient un/des "Drivers to Unload", The Avenger redémarrera une seconde fois.)

Pendant le re-démarrage, une fenêtre de commande de windows noire apparaitra brièvement sur votre bureau, c'est NORMAL.

Après le redémarrage, un fichier log s'ouvrira que vous retrouverez ici : C:\avenger.txt

Tout ce que vous aurez demandé de supprimer sera sauvegardé , compacté(zipped) et l'archive zip tranférée ici : C:\avenger\backup.zip.

[Gunthard26]

A présent MBAM bloque les tentative de connection de svchost mais ne detect rien lors d'un scan

 

17:10:27 SuperUser IP-BLOCK 217.23.7.128 (Type: outgoing, Port: 49195, Process: svchost.exe)

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Database version: 8079

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

06/11/2011 17:11:22

mbam-log-2011-11-06 (17-11-22).txt

 

Scan type: Quick scan

Objects scanned: 193217

Time elapsed: 37 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

 

Je ne sais pas si ça peut vous aider mais la valeur '...\Roaming\svchost.exe' est aussi dans la clé Run de mes 2 utilisateurs.

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows wudhost 0x00325"="C:\\Users\\Lin's\\AppData\\Local\\wudhost.exe"

"Windows audiohd 0x00326"="C:\\Users\\Lin's\\AppData\\Local\\audiohd.exe"

"Windows svchost 0x00324"="C:\\Users\\Lin's\\AppData\\Roaming\\svchost.exe"

Modifié le 6 novembre 2011 par Gunthard26

[pear]

Bonjour,

Postez le rapport Avenger, svp.

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Dans le cadre gauche, "Paste Instructions...."

* Copiez /Collez les lignes ci dessous) en vert:

 

:Files

C:\Users\Lin's\AppData\Local\wudhost.exe

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows wudhost 0x00325"=-

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Windows svchost 0x00324]

 

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

[/color]

[Tigzy]

Salut

 

@Pear: Tu peux essayer RogueKiller, ça devrait être pris en charge

[Gunthard26]

J'ai 2 petites questions:

 

-Wudhost.exe et aussi présent dans la clé run, pas seulement dans runonce. Ne faut-il pas la rajouter au script de OTM

 

-On suprime wudhost mais pas svhost, c'est normal?

 

Sinon, j'ai lancé OTM dont voici le rapport:

All processes killed

========== FILES ==========

C:\Users\Lin's\AppData\Local\wudhost.exe moved successfully.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows wudhost 0x00325 deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Windows svchost 0x00324\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56502 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Lin's

->Temp folder emptied: 35192258 bytes

->Temporary Internet Files folder emptied: 3752137 bytes

->Java cache emptied: 547465 bytes

->FireFox cache emptied: 42589819 bytes

->Flash cache emptied: 8114439 bytes

 

User: Public

 

User: SuperUser

->Temp folder emptied: 1512206 bytes

->Temporary Internet Files folder emptied: 22311166 bytes

->Flash cache emptied: 57117 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 5472 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 109,00 mb

 

 

OTM by OldTimer - Version 3.1.19.0 log created on 11072011_170904

 

Files moved on Reboot...

C:\Users\Lin's\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

 

 

Au redémarrage mon antivirus (ESET) m'a enfin alerté de la presence de svhost et me l'a suprimé. j'ai lancé MBAM en mode rapide et là...

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8107

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

07/11/2011 17:28:26

mbam-log-2011-11-07 (17-28-24).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 189276

Temps écoulé: 2 minute(s), 36 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows wudhost 0x00325 (Backdoor.MSIL.P) -> Value: Windows wudhost 0x00325 -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows audiohd 0x00326 (Backdoor.MSIL.P) -> Value: Windows audiohd 0x00326 -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Lin's\AppData\Local\wudhost.exe (Backdoor.MSIL.P) -> No action taken.

c:\Users\Lin's\AppData\Local\audiohd.exe (Backdoor.MSIL.P) -> No action taken.

c:\Users\Lin's\local settings\audiohd.exe (Backdoor.MSIL.P) -> No action taken.

c:\Users\Lin's\local settings\wudhost.exe (Backdoor.MSIL.P) -> No action taken.

c:\Users\Lin's\local settings\application data\audiohd.exe (Backdoor.MSIL.P) -> No action taken.

c:\Users\Lin's\local settings\application data\wudhost.exe (Backdoor.MSIL.P) -> No action taken.

 

C'est pas bon signe. Pourtant je n'ai rien installé ni executé de douteux depuis le début.

Et pas connecté de lecteur mmovible ( clé USB, DD ext, lecteur MP3, APN...)

.

Modifié le 7 novembre 2011 par Gunthard26

[pear]

Bonjour,

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Redémarrez pour voir si cette peste perdure.

Si oui:

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

[Gunthard26]

Je me suis permis de modifier le script d'OTM pour supprimer wudHost.exe, audiohd.exe et .netframework.exe, ainsi que les clés de registre qui renvois vers eux. Après un redémarrage je n'avais plus d'alerte. J'ai controlé dans l'explorateur, ces fichiers n'existent plus même aprés plusieurs redémarrage. Le scan complet de MBA vient de se finit, je joint le rapport.

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8114

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

09/11/2011 00:05:30

mbam-log-2011-11-09 (00-05-30).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 383806

Temps écoulé: 51 minute(s), 26 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Gunthard26]

Est-ce que d'après le dernier rapport de MBAM je peux me considérer comme sain?