[Réglé] Malware TDSS\TDL4 • page 3

[danakil]

Bon!
On a avancé mais il reste du monde planqué.
Je contrôle la légitimité de certains programmes sur ton PC et je te poste une procédure.

Edit :
L'infection se regénère :
Illégitimes

c:\program files\fichiers communs\symantec shared\ccapp .exe
c:\program files\lenovo\fanspeedcontrol\lenovofsc .exe
c:\program files\logmein\x86\logmeinsystray .exe
c:\program files\microsoft activesync\wcescomm .exe
c:\windows\system32\ico .exe

Légitimes

c:\program files\fichiers communs\symantec shared\ccapp.exe
c:\program files\lenovo\fanspeedcontrol\lenovofsc.exe
c:\program files\logmein\x86\logmeinsystray.exe
c:\program files\microsoft activesync\wcescomm.exe
c:\windows\system32\ico.exe

Toujours cette histoire de copie d'un fichier légitime en mettant le même nom mais en rajoutant un espace ou deux.

> Peux-tu contrôler manuellement que les deux fichiers existent bien pour chacun des fichiers cités, exemple :
c:\program files\fichiers communs\symantec shared\ccapp.exe <-- sain
c:\program files\fichiers communs\symantec shared\ccapp .exe <-- malware

> Ensuite applique ceci :
Télécharge RSIT de random/random sur le Bureau.

> Double clique sur RSIT.exe pour le lancer.
(Vista et Seven > Clic droit dessus > Exécuter en tant qu'Adinistrateur).
> Clique sur Continue dans la fenêtre qui apparaîtra.
* RSIT téléchargera HijackThis, s'il n’est pas présent où détecté sur ton PC > Accepte la licence d'installation.
> Poste moi ici en réponse les contenues des deux rapports, log.txt et info.txt (réduit dans la barre des Tâches) à la fin de l’analyse.

Utilise cjoint.com pour poster en lien tes rapports.
- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint
- Fais un copier/coller du lien http qui te sera donné et poste le.
...
> Fais la même chose avec l'autre rapport C:\rsit\info.txt

[tusmaster]

Bonjour danakil !

Alors, il n'y a que les fichiers avec espace à la fin, sauf pour le ccapp.exe, où il y a les 2.
Pourtant, j'ai pensé à afficher les fichiers cachés et système.

Voici les rapports.
log.txt:
http://cjoint.com/?0bsi4NWuuzW
info.txt:
http://cjoint.com/?0bsi84bz6gc

[danakil]

Salut!

Ok l'infection déforme les rapports. L'élément qui régénère est celui-ci :

wcescomm .exe <-- avec deux espaces

Fais ceci
• Télécharge OTM de Old_Timer sur ton Bureau.
• Double-clique sur OTM.exe pour le lancer.
[i][u]Si tu es sous Vista ou Seven, Clic droit sur l'icône "lancer en tant qu'administrateur".
• Colle le code qui se trouve dans l'encadré ci-dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved.

Code: Tout sélectionner

:files
C:\program files\microsoft activesync\wcescomm  .exe
C:\program files\microsoft activesync\wcescomm .exe
C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

:commands
[emptyflash]
[emptytemp]
[purity]


• Clique sur MoveIt! pour lancer la suppression.
• Si OTMoveIt te propose de redémarrer le PC > Accepte.
• Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
• Copie et colle le rapport de OTMoveIt situé dans ce dossier > C:\_OTMoveIt\MovedFiles.txt

[tusmaster]

Bonjour,

Alors j'ai lancé OTM, qui a demandé à redémarrer, ce que j'ai accepté.
Au redémarrage, rien! Je suis donc allé chercher le fichier log dans le dossier spécifié, dont voici le contenu:

Code: Tout sélectionner

All processes killed
========== FILES ==========
C:\program files\microsoft activesync\wcescomm  .exe moved successfully.
File/Folder C:\program files\microsoft activesync\wcescomm .exe not found.
File/Folder C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') not found.
File/Folder C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') not found.
File/Folder :commands not found.
File/Folder [emptyflash] not found.
File/Folder [emptytemp] not found.
File/Folder [purity] not found.
 
OTM by OldTimer - Version 3.1.17.2 log created on 01192011_093643

C'est bien ça ?

[danakil]

OUI!

Afin de terminer la désinfection nous allons maintenant désinstaller les logiciels de désinfection devenus inutiles.

Télécharge DelFix de Xplode sur ton Bureau.
> Lance-le.
(Vista\Seven > clic droit dessus > Exécuter en tant qu'Administrateur).
> A l'invite de commandes sélectionne le bouton Suppression
> Patiente le temps du scan jusqu'à l'ouverture du rapport.
> Copie et colle ici en réponse ce rapport.
(Le rapport est sauvegardé ici --> C:\DelFixSearch)

[tusmaster]

OK, impeccable, pas mal de choses ont disparu du bureau !
Rapport:

Code: Tout sélectionner

# DelFix v7.1 - Rapport créé le 20/01/2011 à 09:10
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : UTILISATEUR - EMURO (Administrateur)
# Exécuté depuis : C:\Documents and Settings\UTILISATEUR\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\_OTM
Supprimé : C:\RSIT
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\SeafLog.txt
Supprimé : C:\TDSSKiller.2.4.13.0_14.01.2011_09.43.34_log.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\OTM.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\RSIT.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\TDSSKiller.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\tdsskiller.zip
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\mbr.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\mbr.log
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\MBRCheck_01.13.11_14.04.14.txt
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\SEAF.exe
Supprimé : C:\Documents and Settings\UTILISATEUR\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2773 octets] ##########

[danakil]

Salut!

Relance DelFix > Sélectionne Désinstallation

Ensuite ...

1/ Nettoyage des fichiers temporaires de navigation du PC et de son Registre :

• Télécharge et installe Ccleaner en te rendant sur >> cette page <<
  > Clique en haut à droite de la page sur "Download Lastest Version" pour lancer le téléchargement.
• Installe le et lance le...
• Dans la barre d'outil à gauche, clique sur "Nettoyer" (en bas à droite)
  > Recommence cette opération jusqu'à ce que le message "0 octets supprimés" apparaisse dans la fenêtre de résultat.
  > Pour info ce nettoyage peu aussi s'effectuer de manière transparente collant Ccleaner /auto dans la commande "Exécuter" du menu démarrer.

Nettoyage du Registre en cliquant sur "Registre" dans la barre d'outils à gauche.

• Clique ensuite sur "chercher des erreurs" en bas de la fenêtre, puis clique sur "corriger les erreurs sélectionnées".
• > Accepte la sauvegarde du Rregistre proposée et suis les instructions de Ccleaner.
  > Pour info tu peux ouvrir Ccleaner directement à la rubrique "Registre" en collant Ccleaner /registry dans la fenêtre de commande "Exécuter" du menu démarrer.
  
  Si tu as besoin tu as un tutoriel >> ici <<

2/ Purge de la Restauration du système pour qu'elle soit exempte d'infections.

Windows XP

• Clique droit sur le "Poste de Travail" puis dans le menu déroulant sur "Propiétés"

Une fois la fenêtre "Propriétés système" ouverte, sélectionne l'onglet "Restauration du système"


1: Coche la case Désactiver la restauration du système
2: Clique sur Appliquer
3: Accepte le message d'avertissement > OK > Referme tout

Rétablie la Restauration système en faisant les opérations inverses :
1: Décocher Désactiver la restauration du système
2: Appliquer > OK

Vista\Seven

• Clique sur "Menu Démarrer", puis "Tous les programmes", puis "Accessoires", puis "Exécuter" .
  > Dans la fenêtre qui s'ouvre tape SystemPropertiesProtection, puis clique sur OK.

Une fois la fenêtre Propriétés système ouverte:

1: Décoche la case correspondant au disque système (en général C:\).
2: Accepte l'avertissement en cliquant sur Désactiver la restauration du système.
3: Clique sur Appliquer


3/ Crée un nouveau point de Restauration propre.

Windows XP
• Menu Démarrer puis dans Programmes
• Ensuite dans Accessoires et enfin dans Outils système
• Sélectionne Restauration du système
• Sélectionne Créer un point de restauration
• Clique sur Suivant
• Entre un nom pour le point de restauration : exemple PC propre
• Clique sur Créer et le point de restauration se créé automatiquement

Vista\Seven
> Menu Démarrer > Tous les programmes > Accessoires > Exécuter > dans le fenêtre qui s'ouvre tape SystemPropertiesProtection > puis clique sur OK.

Une fois la fenêtre Propriétés système ouverte:

1: Coche la case correspondant au disque système (en général C:\)
2: Clique sur Appliquer.
3: Clique sur Créer
4: Dans la fenêtre qui s'ouvre tape par exemple PC propre et clique sur Créer > patiente le temps de la création et ferme la fenêtre.

4/ Un peu de lecture afin de mieux protéger ta navigation sur le Web.

• un Compte Utilisateur limité accroît la sécurité de l'ordinateur.
  
• Quelques mesures préventives pour surfer couvert.
  
• Comment éviter les imprudences d'installation.
  
• Reconnaitre et éviter les infections Msn.
  
• Si tu utilises "Face Book", lis >> cet article << afin de ne pas te faire piéger

Voilà amie tusmaster c'est terminée!
Je te relâche sur l'impitoyable espace du Web
Ravi de t'avoir croisé et bonne continuation parmi nous

[tusmaster]

Un immense merci à toi, pour le temps que tu as passé à me sortir de cette mauvaise passe !
Je ne sais pas où tu as appris tout ça, mais si jamais il existe un moyen de se former, je suis preneur, afin de rendre la pareille à quelqu'un à mon tour.
J'espère ne plus avoir affaire à toi cela dit, mais si c'est le cas, ce sera en toute confiance !

M E R C I !

[danakil]

De rien ...

Pour la formation tu as deux possibilités :
Sur le tas en suivant les procédures appliquées par les helpers du Forum sur les divers sujets et en leur demandant en MP des explications sur l'utilisation des tools de désinsfection.
Sur des centres de formations d'helpers que je te communiquerai en MP sous peu.
Dans les deux cas il te faudra du temps et de la patience - Régles d'or des helpers.

Ne sois pas étonner, je vais faire changer le titre de ce topic par un de nos modérateurs et le faire clôturer.

[tusmaster]

OK, merci encore !