Se reporter à cette page de désinfection : http://forum.malekal.com/your-protection-t25834.html
Trojan-Clicker.Win32.Cycler est un Trojan.Cliker (surf à votre insu et peut éventuellement ouvrir des popups de publicités) qui se charge dans un sous-dossier de System Volume Information
ouC:\System Volume Information\_restore{d5fffa500b1b}\smss.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt
(L'emplacement peux bien entendu évoluer dans le temps selon les variantes).c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe
File smss.exe received on 2010.05.23 11:16:41 (UTC)
Current status: finished
Result: 19/41 (46.34%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.21 TR/Vilsel.aejm
Antiy-AVL 2.0.3.7 2010.05.21 Trojan/Win32.Cycler.gen
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 Win32:Unruy-G
Avast5 5.0.332.0 2010.05.23 Win32:Unruy-G
AVG 9.0.0.787 2010.05.23 Crypt.VUB
BitDefender 7.2 2010.05.23 Trojan.Generic.3947515
CAT-QuickHeal 10.00 2010.05.21 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4920 2010.05.23 -
DrWeb 5.0.2.03300 2010.05.23 Trojan.Siggen1.30114
eSafe 7.0.17.0 2010.05.20 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.23 Trojan.Generic.3947515
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.23 Trojan.Generic.3947515
Ikarus T3.1.1.84.0 2010.05.23 -
Jiangmin 13.0.900 2010.05.22 TrojanClicker.Cycler.lt
Kaspersky 7.0.0.125 2010.05.23 Trojan-Clicker.Win32.Cycler.ajnt
McAfee 5.400.0.1158 2010.05.23 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.23 TrojanDownloader:Win32/Unruy.D
NOD32 5138 2010.05.22 a variant of Win32/TrojanDownloader.Unruy.BR
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 Trojan.Generic.3947515
Panda 10.0.2.7 2010.05.23 -
PCTools 7.0.3.5 2010.05.23 -
Prevx 3.0 2010.05.23 High Risk Cloaked Malware
Rising 22.48.06.04 2010.05.23 -
Sophos 4.53.0 2010.05.23 Troj/Agent-NGU
Sunbelt 6341 2010.05.23 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.23 -
TheHacker 6.5.2.0.285 2010.05.23 -
TrendMicro 9.120.0.1004 2010.05.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.23 -
VBA32 3.12.12.5 2010.05.22 Trojan-Clicker.Win32.Cycler.sfy
ViRobot 2010.5.20.2326 2010.05.22 -
VirusBuster 5.0.27.0 2010.05.22 Trojan.DL.Unruy.HQ
Additional information
File size: 57986 bytes
MD5 : d5b5634245a6687107bc0d7c84a8c1a7
SHA1 : 6859d88ad16d69689522cdd1295e383ce8de5ed5
La partie intéressante et que ces deux malwares n'ont aucun point de chargement dans le registre et surtout, si on tente de supprimer le malware, ce dernier revient comme le montre la page de désinfection : http://forum.malekal.com/your-protection-t25834.htmlFile svchost.exe received on 2010.05.23 11:45:31 (UTC)
Current status: finished
Result: 18/41 (43.90%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.21 TR/Vilsel.aejm
Antiy-AVL 2.0.3.7 2010.05.21 Trojan/Win32.Cycler.gen
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 Win32:Unruy-G
Avast5 5.0.332.0 2010.05.23 Win32:Unruy-G
AVG 9.0.0.787 2010.05.23 Crypt.VUB
BitDefender 7.2 2010.05.23 Trojan.Generic.3947515
CAT-QuickHeal 10.00 2010.05.21 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4920 2010.05.23 -
DrWeb 5.0.2.03300 2010.05.23 Trojan.Siggen1.30114
eSafe 7.0.17.0 2010.05.20 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.23 Trojan.Generic.3947515
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.23 Trojan.Generic.3947515
Ikarus T3.1.1.84.0 2010.05.23 -
Jiangmin 13.0.900 2010.05.22 TrojanClicker.Cycler.lt
Kaspersky 7.0.0.125 2010.05.23 Trojan-Clicker.Win32.Cycler.ajnt
McAfee 5.400.0.1158 2010.05.23 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.23 -
NOD32 5138 2010.05.22 a variant of Win32/TrojanDownloader.Unruy.BR
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 Trojan.Generic.3947515
Panda 10.0.2.7 2010.05.23 -
PCTools 7.0.3.5 2010.05.23 -
Prevx 3.0 2010.05.23 High Risk Cloaked Malware
Rising 22.48.06.04 2010.05.23 -
Sophos 4.53.0 2010.05.23 Troj/Agent-NGU
Sunbelt 6341 2010.05.23 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.23 -
TheHacker 6.5.2.0.285 2010.05.23 -
TrendMicro 9.120.0.1004 2010.05.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.23 -
VBA32 3.12.12.5 2010.05.22 Trojan-Clicker.Win32.Cycler.sfy
ViRobot 2010.5.20.2326 2010.05.22 -
VirusBuster 5.0.27.0 2010.05.22 Trojan.DL.Unruy.HQ
Additional information
File size: 51916 bytes
MD5 : 14b70f3a3949e94a8e3eacd3120b132e
SHA1 : 62e04ea3679570b29908bd281dec81d92e203c53
L'infection est en fait réinstaller par un rootkit qui est logé dans le MBR qui a comme d'où nom "Whistler Bootkit".
C'est donc le second Rootkit MBR après PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot.
Le programme suivant permet de détecter ce malware et de le supprimer : http://www.esagelab.com/files/bootkit_remover.rar
Lorsqu'un élément est détecté on obtient le message :
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix
Pour supprimer :
* Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)Sauvegarde tes données importantes car on est pas à l'abri d'un plantage.
Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT
* Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.
Ce qui doit donner ensuite :
Il est ensuite possible de supprimer le Trojan.Cliker via The Avenger ou Combofix qui ne devrait plus revenir.
Se reporter à cette page : http://forum.malekal.com/your-protectio ... ml#p212511
On peux s'attendre par la suite que Whistler Bootkit charge d'autres malwares qu'un "simple" Trojan.Clicker
Un grand merci à myrtille pour m'avoir donné le lien suivant : http://antimalwarehelp.blogspot.com/201 ... otkit.html