Infection « Smart HDD »

cecilef · le 12 avril 2012

Bonjour,

Me voici infectée par "SMART HDD" ... j'ai lancé RogueKiller et unhide, j'ai donc pu récupérer tous mes fichiers, raccourci et menu démarrer. Seulement, l'icone de SMART HDD est toujours là, que ce soit sur le bureau, sur la barre de tache et dans le menu démarrer. Que puis-je faire pour l'éradiquer ?

Merci d'avance pour l'aide !!

Voici tous les rapports créés par Roquekiller :

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Recherche -- Date: 12/04/2012 21:53:29

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[13] : NtAlertResumeThread @ 0x82EE1EE9 -> HOOKED (Unknown @ 0x881C3B18)

SSDT[14] : NtAlertThread @ 0x82E47305 -> HOOKED (Unknown @ 0x881C09B8)

SSDT[54] : NtConnectPort @ 0x82E1884D -> HOOKED (Unknown @ 0x8843DFC0)

SSDT[67] : NtCreateMutant @ 0x82E82F77 -> HOOKED (Unknown @ 0x881C07A8)

SSDT[78] : NtCreateThread @ 0x82EE0560 -> HOOKED (Unknown @ 0x88436498)

SSDT[156] : NtImpersonateAnonymousToken @ 0x82E07257 -> HOOKED (Unknown @ 0x881C08D8)

SSDT[158] : NtImpersonateThread @ 0x82E19980 -> HOOKED (Unknown @ 0x87F391E0)

SSDT[177] : NtMapViewOfSection @ 0x82E70AFE -> HOOKED (Unknown @ 0x88421208)

SSDT[184] : NtOpenEvent @ 0x82E32451 -> HOOKED (Unknown @ 0x88421558)

SSDT[195] : NtOpenProcessToken @ 0x82E5967B -> HOOKED (Unknown @ 0x881B5790)

SSDT[202] : NtOpenThreadToken @ 0x82E59E51 -> HOOKED (Unknown @ 0x87F39838)

SSDT[282] : NtResumeThread @ 0x82E4D924 -> HOOKED (Unknown @ 0x881BF090)

SSDT[289] : NtSetContextThread @ 0x82EE1233 -> HOOKED (Unknown @ 0x87F39758)

SSDT[305] : NtSetInformationProcess @ 0x82E80A24 -> HOOKED (Unknown @ 0x87F39918)

SSDT[306] : NtSetInformationThread @ 0x82E4EEB4 -> HOOKED (Unknown @ 0x87F39678)

SSDT[330] : NtSuspendProcess @ 0x82EE1E23 -> HOOKED (Unknown @ 0x88421498)

SSDT[331] : NtSuspendThread @ 0x82E9ECEA -> HOOKED (Unknown @ 0x881C0EB0)

SSDT[335] : NtTerminateThread @ 0x82E5BAF3 -> HOOKED (Unknown @ 0x881C0F90)

SSDT[348] : NtUnmapViewOfSection @ 0x82E71155 -> HOOKED (Unknown @ 0x88421148)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3320820AS ATA Device +++++

--- User ---

[MBR] 92e1e60a9c83cb16f3dd10d1fd84866d

[bSP] 1c55a89d504c6824f081b3af10672888 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 297046 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] e1e4eb0f043b9f99e66e63a85440635d

[bSP] 1c55a89d504c6824f081b3af10672888 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 297046 Mo

2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625139712 | Size: 1 Mo

Termine : << RKreport[1].txt >>

RKreport[1].txt

________________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: HOSTS RAZ -- Date: 12/04/2012 22:06:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

______________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Proxy RAZ -- Date: 12/04/2012 22:07:15

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

_________________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: DNS RAZ -- Date: 12/04/2012 22:07:40

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

_____________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 12/04/2012 22:18:08

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 6 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 0 / Fail 0

Sauvegarde: [NOT FOUND]

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored

[F:] \Device\HarddiskVolume5 -- 0x2 --> Restored

[G:] \Device\HarddiskVolume6 -- 0x2 --> Restored

[H:] \Device\CdRom0 -- 0x5 --> Skipped

[i:] \Device\HarddiskVolume7 -- 0x2 --> Restored

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

Apollo · le 12 avril 2012

Bonsoir,

Télécharge TDSSKiller de Kaspersky sur ton bureau.

Ou: http://s upport.k a s per s k y.com/fr/download s /util s /td s s k iller.zip ; décompresse le zip.

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

Et coche les 2 options supplémentaires:

Clique sur Start scan pour lancer l'analyse.

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

En général, laisse les options proposées par défaut par l'outil

l'option "delete" (effacer) est bien cochée pour la famille TDL2

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

l'option "cure" (réparer ) pour la famille TDL3.

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

puis clique sur Continue.

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

En fin d'analyse il peut être demandé de relancer la machine:

clique sur Reboot Now.

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

@++

cecilef · le 12 avril 2012

Merci pour cette réponse. Malheureusement, TDDSKILLER ne veut pas se lancer sur mon ordi. Que dois-je faire ?

Apollo · le 12 avril 2012

Oho! Ca c'est embêtant.

On va essayer autrement; tu devras peut-être télécharger une nouvelle copie de TDSSKiller après le passage de RKill.

Rédémarre le pc en mode sans échec AVEC prise en charge du réseau: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

RKill - What it does and What it Doesn't - A brief introduction to the program

Lien 2

Lien 3

Lien 4

http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe

Enregistrer le fichier sur le Bureau.

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware. Si vous ne savez pas comment faire, reportez-vous à cet article.

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître. (c'est très rapide)

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les cinq liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

Ne redémarre pas le pc! Le malware repartirait de plus belle.

-----------------

Re Télécharge TDSSKiller et, toujours dans ce mode, le lancer comme expliqué plus haut. (+ rapport).

@++

++

cecilef · le 12 avril 2012

voilà le rapport rkill :

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Rkill was run on 12/04/2012 at 23:52:27.

Operating System: Windows Vista Home Premium

Processes terminated by Rkill or while it was running:

C:\Windows\system32\conime.exe

Rkill completed on 12/04/2012 at 23:53:42.

Apollo · le 12 avril 2012

Ok, poursuis avec TDSSKiller, toujours dans ce mode et s'il ne se lance pas, jette-le et télécharge un nouveau.

@++

cecilef · le 12 avril 2012

Il ne veut toujours pas se lancer ...

Apollo · le 12 avril 2012

Mince,

Si tu as MalwareBytes, mets le à jour et lance une analyse rapide.

Si tu ne l'as pas:

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles. (c'est comme vous voulez)

Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau.

|MG| Malwarebytes Anti-Malware 1.61.1.1400 Download

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide."
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

cecilef · le 12 avril 2012

voilà les réponses MBAM : aucun élément nuisible n'a été detecté ...

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

Version de la base de données: v2012.04.12.09

Windows Vista Service Pack 1 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 7.0.6001.18000

Cécile :: MON_ORDI [administrateur]

13/04/2012 00:20:42

mbam-log-2012-04-13 (00-20-42).txt

Type d'examen: Examen rapide

Options d'examen désactivées: P2P

Elément(s) analysé(s): 278272

Temps écoulé: 6 minute(s), 55 seconde(s)

Processus mémoire détecté(s): 0