[Résolu] Infestation par rootkit suspectée

[Patrick St P. Bosguerard]

Bonjour,

 

Il y a quelques jours, j'ai été infesté sur mon PC, par des malwares.

Ça se traduisait entre autres, par un ralentissement de plus en plus visible de ma connexion ADSL,

ainsi que le refus de lancer certains outils comme le gestionnaire de tâches ou MSCONFIG,

ou, empêchant des modifications comme la désactivation de certains services

(d'autres symptomes surgissaient, ponctuellement, comme des messages d'infestation, et des incitations à installer une protection prétenduement efficace).

 

j'ai scanné par l'outil en ligne de ESET SMARTSECURITY SUITE.

 

Il a découvert la présence de plusieurs intrus (spywares, trojeans) : j'ai nettoyé et en principe, plus rien n'est resté.

La manifestation la plus apparente (débit Internet qui était tombé très bas), a disparu : la connexion est redevenue normale.

 

Toutefois, alors que le PC semblait sain depuis plus d'une journée de travail, j'ai repéré hier,

2 anomalies que je n'avais pas remarquées, au milieu des problèmes qui s'amoncelaient.

 

1ère anomalie : je ne peux plus retirer de périphérique USB.

 

Le message bloquant, dit à peu près : "impossible d'arrêter le périphérique, car un programme y a encore accès".

 

Détails : j'ai essayé avec plusieurs clés USB.

Ne pouvant la retirer par l'icône, dans le System Tray (à côté de l'horloge, à droite sur la barre des tâches),

je réussis à l'éjecter par clic droit, sur la partition de la clé, dans Explorer :

Explorer accepte la demande, rend effectivement inopérant le contenu de la clé (contenu vide), mais laisse cette partition présente dans l'arborescence.

 

Annexe : j'ai tenté un disque externe USB ; cela provoque un figeage total de la machine (obligé de l'éteindre et de la rallumer).

 

2è anomalie : Internet Explorer est lancé systématiquement, comme processus ("iexplore.exe"), alors que je ne m'en sers jamais.

 

Je me sers surtout de Firefox, et en complément, de Chrome et Opéra (Internet Explorer, seulement quand c'est obligatoire).

 

COMMENTAIRE : il semblerait que le disque soit atteint par un genre de rootkit.

 

En effet, je possède 3 disques extractibles (3 tiroirs : donc possibilité de booter avec 1 ou 2 ou 3 disques en ligne).

Le disque 1 est celui utilisé tout le temps : c'est lui a pris la contamination, dans les dents.

Le disque 2 sert de sauvegarde et le disque 3 pour les grands tests.

 

Si je restaure sur le disque 1, une image GHOST, propre, du système, ça ne change rien : les 2 anomalies demeurent.

Si je restaure sur le disque 2 (qui n'a pas vu les malwares), il n'y a aucune anomalie.

 

Annexe : Le disque externe, qui fige le PC, n'aurait-il pas un Autorun infesté ?

 

ACTION PRÉVUE : après consultation Internet, il me semble que je devrais utiliser COMBOFIX.

 

Mais j'ai vu des avertissements sévères de mise en garde contre ses dangers.

 

Par ailleurs, je ne suis pas habitué à ces manips : je n'ai jamais utilisé Hijackthis, ni d'autres outils

car jusqu'à présent, je me débrouillais avec mes disques extractibles et mes nombreuses images GHOST

(je ne suis pas un fan de SYMANTEC, mais là, bravo GHOST !).

 

Que dois-je faire ???

 

J'attends donc vos ordres, CHEF !

 

PLC27370 de Saint Pierre du Bosguerard

Modifié le 12 décembre 2011 par Patrick St P. Bosguerard

[pear]

Bonjour,

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tounevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[Patrick St P. Bosguerard]

Rebonjour,

 

Merci pour votre aide.

Voici le lien vers mon rapport : Rapport Hijackthis

 

Je n'y connais pas grand chose, j'ai donc parcouru le rapport à tout hasard. J'ai repéré qu'en fin de rapport, il mentionne l'éventualité d'un rootkit ? Que dit ce rapport ?

 

A plus.

PLC27370

[pear]

Il vous faut d'abord supprimer vos cracks:

 

---\\ Crack & Keygen Files (O82) D:\Soft_cle_usb\LOISIRS\CrackAttack\CrackAttack\bin\Crack Attack!.exe D:\Soft_cle_usb\LOISIRS\CrackAttack\CrackAttack\bin\crackattack.exe D:\Soft_cle_usb\LOISIRS\CrackAttack\PortableCrackAttack.exe G:\Programmes - Params\SETUP Tour SATA\Soft_cle_usb\PortableCrackAttack-1.1.8-fr-r03.zip

[Patrick St P. Bosguerard]

.

C'est fait.

 

Ce "crack" a été installé par mégarde (téléchargé sur un serveur "normal").

 

Ma bonne foi

s

e prouve par le

s

core : 4

é

x

é

cutable

s

"crac

k

"

s

ur environ 7800

é

x

é

cutable

s

!

S

oit j'ach

è

te,

s

i aucun gratuit ne peut

s

ati

s

faire la fonction voulue,

s

oit je choi

s

i

s

un gratuit,

s

i po

s

s

ible, portable (et,

s

i po

s

s

ible : "libre").

 

Je privil

é

gie le portable, m

ê

me

s

i le

s

fonction

s

s

ont un peu inf

é

rieure

s

, pour rai

s

on

s

d'organi

s

ation.

 

Nota : j'utili

s

e parfoi

s

de

s

ver

s

ion

s

à

l'e

s

s

ai, et,

s

i c'e

s

t un be

s

oin faible, mai

s

r

é

gulier,

je prolonge la p

é

riode d'e

s

s

ai, par un jeu d'image

s

GHO

S

T.

 

Merci, pour le suivi de mon problème.

[pear]

Bonjour,

 

Pour que l'on se comprenne bien, supprimer les cracks ce n'est pas pour une question de morale mais d'efficacité: ils sont souvent vecteurs d'infections.

 

Télécharger DeFogger de Jpshortstuff sur le bureau.

 

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

Vous cliquerez sur Enable pour réactiver.

 

 

Télécharger GMER

clic sur "Download EXE" et télécharger le fichier sur le bureau.

 

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.

Double-clic sur le fichier GMER téléchargé.

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :

Show All

Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"

Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

 

 

Lorsque le scan est terminé, clic sur "Copy"

 

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Comme on ne verra pas la couleur, indiquez les dans votre message

 

 

Ouvrez le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistrer le fichier sur le bureau et copier/coller le contenu.

Modifié le 17 novembre 2011 par pear

[Patrick St P. Bosguerard]

Pardon, j'étais absent toute la journée.

Je n'ai pu m'atteler à la traque des intrus que ce soir.

 

Après les manips demandées, voici le rapport obtenu (aucune ligne n'était rouge).

 

 

=========================== début du rapport ===========================

 

GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-18 00:38:55

Windows 5.1.2600 Service Pack 3

Running: ybl8fpqc.exe; Driver: D:\Temp\afliypog.sys

 

 

---- Modules - GMER 1.0.15 ----

 

Module mv61xx.sys (Marvell Thor Windows Driver/Marvell Semiconductor, Inc.) BA6CA000-BA70A000 (262144 bytes)

Module \SystemRoot\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 175.16 /NVIDIA Corporation) B9BE7000-BA228000 (6557696 bytes)

Module \SystemRoot\system32\DRIVERS\HDAudBus.sys (High Definition Audio Bus Driver v1.0a/Windows ® Server 2003 DDK provider) B9B87000-B9BAF000 (163840 bytes)

Module \SystemRoot\system32\DRIVERS\yk51x86.sys (NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller/Marvell) B9B46000-B9B87000 (266240 bytes)

Module \SystemRoot\system32\DRIVERS\ASACPI.sys BADC2000-BADC4000 (8192 bytes)

Module \SystemRoot\system32\DRIVERS\Epfwndis.sys (ESET Personal Firewall NDIS filter/ESET) BAA08000-BAA15000 (53248 bytes)

Module \SystemRoot\system32\DRIVERS\ptilink.sys (Parallel Technologies DirectParallel IO Library/Parallel Technologies, Inc.) BAB88000-BAB8D000 (20480 bytes)

Module \SystemRoot\system32\drivers\ADIHdAud.sys (High Definition Audio Function Driver/Analog Devices, Inc.) B4938000-B498E000 (352256 bytes)

Module \SystemRoot\system32\drivers\AEAudio.sys (Audio Noise Filtering Driver (32-bit)/Andrea Electronics Corporation) B48FC000-B4914000 (98304 bytes)

Module \SystemRoot\system32\drivers\Senfilt.sys (Sensaura WDM 3D Audio Driver/Sensaura) B489C000-B48FC000 (393216 bytes)

Module \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) B487C000-B489C000 (131072 bytes)

Module \SystemRoot\system32\DRIVERS\epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) B47DD000-B47F0000 (77824 bytes)

Module \SystemRoot\system32\drivers\AsIO.sys BAE16000-BAE18000 (8192 bytes)

Module \SystemRoot\System32\nv4_disp.dll (NVIDIA Compatible Windows 2000 Display driver, Version 175.16 /NVIDIA Corporation) BF9D5000-BFFA9000 (6111232 bytes)

Module \SystemRoot\System32\ATMFD.DLL (Windows NT OpenType/Type 1 Font Driver/Adobe Systems Incorporated) BFFA9000-BFFEF000 (286720 bytes)

Module \SystemRoot\system32\DRIVERS\epfw.sys (ESET Personal Firewall driver/ESET) B4240000-B4268000 (163840 bytes)

Module \SystemRoot\system32\DRIVERS\eamon.sys (Amon monitor/ESET) B1D62000-B1E2D000 (831488 bytes)

Module \??\D:\Temp\afliypog.sys (GMER Driver http://www.gmer.net/GMER) (GMER) B1D49000-B1D62000 (102400 bytes)

 

---- Processes - GMER 1.0.15 ----

 

Process GoogleUpdate.exe 140

Process jqs.exe 156

Process nvsvc32.exe (NVIDIA Driver Helper Service, Version 175.16/NVIDIA Corporation) 348

Process GoogleToolbarNotifier.exe 628

Process egui.exe 876

Process ekrn.exe 1940

Process smax4pnp.exe 2024

Process ybl8fpqc.exe 3544

Process iexplore.exe 3756

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\ADIHdAud.sys (High Definition Audio Function Driver/Analog Devices, Inc.) [MANUAL] ADIHdAudAddService

Service C:\WINDOWS\system32\drivers\AEAudio.sys (Audio Noise Filtering Driver (32-bit)/Andrea Electronics Corporation) [MANUAL] AEAudio

Service C:\WINDOWS\system32\drivers\AsIO.sys [sYSTEM] AsIO

Service C:\Program Files\Fichiers communs\Nuance\dgnsvc.exe (Dragon NaturallySpeaking Service/Nuance Communications, Inc.) [DISABLED] DragonSvc

Service C:\WINDOWS\system32\DRIVERS\eamon.sys (Amon monitor/ESET) [MANUAL] eamon

Service C:\WINDOWS\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) [sYSTEM] ehdrv

Service C:\Program Files\ESET\ESET Smart Security\ekrn.exe (ESET Service/ESET) [AUTO] ekrn

Service C:\WINDOWS\system32\DRIVERS\epfw.sys (ESET Personal Firewall driver/ESET) [AUTO] epfw

Service C:\WINDOWS\system32\DRIVERS\Epfwndis.sys (ESET Personal Firewall NDIS filter/ESET) [MANUAL] Epfwndis

Service C:\WINDOWS\system32\DRIVERS\epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) [sYSTEM] epfwtdi

Service X:\INSTALL\GMSIPCI.SYS [MANUAL] GMSIPCI

Service C:\Program [AUTO] gupdate

Service C:\Program [MANUAL] gupdatem

Service C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (gusvc/Google) [MANUAL] gusvc

Service C:\WINDOWS\system32\DRIVERS\HDAudBus.sys (High Definition Audio Bus Driver v1.0a/Windows ® Server 2003 DDK provider) [MANUAL] HDAudBus

Service C:\Program Files\Java\jre6\bin\jqs.exe (Java Quick Starter Service/Sun Microsystems, Inc.) [AUTO] JavaQuickStarterService

Service MSDTC Bridge 3.0.0.0

Service X:\install4\MSICPL.sys [MANUAL] MSICPL

Service C:\WINDOWS\system32\DRIVERS\ASACPI.sys [MANUAL] MTsensor

Service C:\WINDOWS\system32\DRIVERS\mv61xx.sys (Marvell Thor Windows Driver/Marvell Semiconductor, Inc.) [bOOT] mv61xx

Service X:\NTACCESS.sys [MANUAL] NTACCESS

Service C:\WINDOWS\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 175.16 /NVIDIA Corporation) [MANUAL] nv

Service C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Driver Helper Service, Version 175.16/NVIDIA Corporation) [AUTO] NVSvc

Service Outlook

Service C:\WINDOWS\system32\DRIVERS\ptilink.sys (Parallel Technologies DirectParallel IO Library/Parallel Technologies, Inc.) [MANUAL] Ptilink

Service C:\WINDOWS\system32\DRIVERS\rt2870.sys (Ralink 802.11 USB Wireless Adapter Driver/Ralink Technology, Corp.) [MANUAL] rt2870

Service C:\WINDOWS\system32\DRIVERS\secdrv.sys (Macrovision SECURITY Driver/Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [MANUAL] Secdrv

Service C:\WINDOWS\system32\drivers\Senfilt.sys (Sensaura WDM 3D Audio Driver/Sensaura) [MANUAL] SenFiltService

Service ServiceModelEndpoint 3.0.0.0

Service ServiceModelOperation 3.0.0.0

Service ServiceModelService 3.0.0.0

Service X:\NTGLM7X.sys [MANUAL] SetupNTGLM7X

Service SMSvcHost 3.0.0.0

Service Windows Workflow Foundation 3.0.0.0

Service C:\WINDOWS\system32\DRIVERS\yk51x86.sys (NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller/Marvell) [MANUAL] yukonwxp

 

---- EOF - GMER 1.0.15 ----

 

====================== fin du rapport ==============================

 

 

L'absence de ligne en rouge est-elle l'indice que le PC est sain, ou au contraire,

chacune des 70 lignes du rapport montrerait-elle, un fichier contaminé ?

 

J'espère que le verdict sera clément !

[pear]

Trop tôt pour le verdict!

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

ybl8fpqc.exe

Cocher"Chercher également dans le régistre"

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

Modifié le 18 novembre 2011 par pear

[Patrick St P. Bosguerard]

Bonjour,

 

Je viens de finir la 1ère partie : SEAF.EXE

 

Voici le rapport :

 

========================== début du rapport =============================

 

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 13:36:39 le 18/11/2011

4.

5. Valeur(s) recherchée(s):

6. ybl8fpqc.exe

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12. (!) --- Recherche registre

13.

14. ====== Fichier(s) ======

15.

16.

17. "C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" [ ARCHIVE | 303 Ko ]

18. TC: 17/11/2011,22:57:37 | TM: 17/11/2011,22:57:37 | DA: 18/11/2011,13:33:14

19.

20. Hash MD5: FF72056739C31E4CC920FBDFF4F9A8E5

21.

22. FileVersion: 1, 0, 15, 15641

23.

24. =========================

25.

26.

27.

28. ====== Entrée(s) du registre ======

29.

30.

31. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

32. "a"="C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" (REG_SZ)

33.

34. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

35. "a"="C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" (REG_SZ)

36.

37. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]

38. "C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe"="ybl8fpqc" (REG_SZ)

39.

40. =========================

41.

42. Fin à: 13:40:58 le 18/11/2011

43. 572364 Éléments analysés

44.

45. =========================

46. E.O.F

 

 

========================== fin du rapport =============================

 

 

Je m'occupe à l'instant de la suite.

 

A plus tard.

[pear]

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

Si Virustotal n'est pas disponible, faites analyser par Jotti:

Analyser_un_fichier_sur_jotti

 

Tuto Jottiq

Jottiq