Publicités et processus iexplorer

[azral]

Bonsoir, je me tourne vers votre forum à cause d'un petit problème :

Depuis hier j'ai un processus iexplorer en permanence actif dans mes processus alors que j'utilise uniquement firefox. Si je kill le processus, celui-ci réapparait instantanément.
Le plus ennuyant c'est qu'environ 1fois par heure ça me lance un joli popup de publicité (de 4mètres sur 4mètres...). Autre désagrément, il semblerait que ça baisse à son minimum le volume sonore "sons wave" dans le contrôle du volume, du coup faut remettre le son correctement toutes les 30minutes.

J'ai rien installé de particulier depuis quelques mois, et n'ai cliqué aucun lien suspect, donc j'ai du mal à saisir comment j'ai chopé ça (apparemment je suis pas le seul, vu le titre de certain sujet)

Voila, voila
Si il y a une âme charitable pour m'aider
J'ai mis le rapport de ComboFix en pièce jointe.
Merci d'avance

[Malekal_morte]

Salut,

* Télécharge OTL sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL

* Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

[azral]

Voila les deux rapports :

OTL

Extras

[Malekal_morte]

A priori rien d'anormal.
T'as tjrs ce Internet Explorer qui se lance ?

[azral]

Oui, c'est toujours là...
toujours le droit à ma petite pub par heure, et à ma descente du volume

Pour illustrer un peu le problème :
http://www.cijoint.fr/cjlink.php?file=c ... WYtP45.jpg

[Malekal_morte]

Comme ça, je dirai que t'as ça : http://forum.malekal.com/vilsel-aejm-tr ... 25956.html
Mais aucun des rapports ne mentionne les fichiers :

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt

Ton Avast! est pas à jour, la dernière version, c'est la 5.
Je voudrais voir ce qu'Antivir va détecter.

Désinstalle Avast! et mets Antivir : https://www.malekal.com/tutorial_antivir.php

Poste le rapport de scan ici.

[azral]

Bonjour,

j'ai désinstallé Avast donc, et installé Antivir.
Voila le rapport :
http://www.cijoint.fr/cjlink.php?file=c ... Yu6Qba.txt

[Malekal_morte]

hummm

Fais un scan rootkit sur Antivir et poste le rapport ici.

Lance le remover_bootkit et fais une capture et joint là ici.
cf : http://forum.malekal.com/vilsel-aejm-tr ... 25956.html

~~

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

[azral]

Après moult péripéties,

Voici donc le rapport d'Antivir de son scan rootkit:
http://www.cijoint.fr/cjlink.php?file=c ... IznaHk.txt

Ainsi que la capture du remover_bootkit et le rapport gmer :


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-08 17:34:07
Windows 5.1.2600 Service Pack 3
Running: qu3ulydx.exe; Driver: C:\DOCUME~1\A46EC~1.LEB\LOCALS~1\Temp\pwtyiuog.sys


---- System - GMER 1.0.15 ----

SSDT B4DD081E ZwCreateKey
SSDT B4DD0814 ZwCreateThread
SSDT B4DD0823 ZwDeleteKey
SSDT B4DD082D ZwDeleteValueKey
SSDT spen.sys ZwEnumerateKey [0xF72A4CA4]
SSDT spen.sys ZwEnumerateValueKey [0xF72A5032]
SSDT B4DD0832 ZwLoadKey
SSDT spen.sys ZwOpenKey [0xF72860C0]
SSDT B4DD0800 ZwOpenProcess
SSDT B4DD0805 ZwOpenThread
SSDT spen.sys ZwQueryKey [0xF72A510A]
SSDT spen.sys ZwQueryValueKey [0xF72A4F8A]
SSDT B4DD083C ZwReplaceKey
SSDT B4DD0837 ZwRestoreKey
SSDT B4DD0828 ZwSetValueKey
SSDT B4DD080F ZwTerminateProcess

INT 0x63 ? 8A535BF8
INT 0x63 ? 89964BF8
INT 0x63 ? 89964BF8
INT 0x63 ? 89964BF8
INT 0x63 ? 8A535BF8
INT 0x83 ? 89964BF8
INT 0x84 ? 89964BF8
INT 0xA4 ? 89964BF8
INT 0xB4 ? 89964BF8

---- Kernel code sections - GMER 1.0.15 ----

? spen.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF63C1000, 0x238E77, 0xE8000020]
.text USBPORT.SYS!DllUnload F63788AC 5 Bytes JMP 899641D8
.text amxlvirh.SYS F4F20386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text amxlvirh.SYS F4F203AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text amxlvirh.SYS F4F203C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text amxlvirh.SYS F4F203C9 1 Byte [30]
.text amxlvirh.SYS F4F203C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA4A22300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7787300, 0x1B7E, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7296E9C] spen.sys
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\amxlvirh.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5341F8
Device \Driver\sptd \Device\3549620322 spen.sys
Device \Driver\usbuhci \Device\USBPDO-0 89963500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A4C61F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A4C61F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A4C61F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A4C61F8
Device \Driver\usbuhci \Device\USBPDO-1 89963500
Device \Driver\NetBT \Device\NetBT_Tcpip_{033A1453-D128-4F1A-9ABC-D3B1517FBAEB} 89621500
Device \Driver\usbuhci \Device\USBPDO-2 89963500
Device \Driver\usbehci \Device\USBPDO-3 89940500
Device \Driver\usbehci \Device\USBPDO-4 89940500
Device \Driver\usbuhci \Device\USBPDO-5 89963500
Device \Driver\usbuhci \Device\USBPDO-6 89963500
Device \Driver\usbuhci \Device\USBPDO-7 89963500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5361F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5361F8
Device \Driver\Cdrom \Device\CdRom0 8976B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A5361F8
Device \Driver\Cdrom \Device\CdRom1 8976B1F8
Device \Driver\iaStor \Device\Ide\iaStor0 [F71570B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [F71570B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 [F71570B0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 89621500
Device \Driver\NetBT \Device\NetbiosSmb 89621500
Device \Driver\PCI_PNP1572 \Device\0000004c spen.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{B7F81418-255C-45AD-A302-4A3B8E58E8F9} 89621500
Device \Driver\usbuhci \Device\USBFDO-0 89963500
Device \Driver\usbuhci \Device\USBFDO-1 89963500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 899B7408
Device \Driver\usbuhci \Device\USBFDO-2 89963500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 899B7408
Device \Driver\usbehci \Device\USBFDO-3 89940500
Device \Driver\usbuhci \Device\USBFDO-4 89963500
Device \Driver\Ftdisk \Device\FtControl 8A5361F8
Device \Driver\usbuhci \Device\USBFDO-5 89963500
Device \Driver\usbuhci \Device\USBFDO-6 89963500
Device \Driver\usbehci \Device\USBFDO-7 89940500
Device \Driver\amxlvirh \Device\Scsi\amxlvirh1Port1Path0Target0Lun0 897661F8
Device \Driver\amxlvirh \Device\Scsi\amxlvirh1 897661F8
Device \FileSystem\Cdfs \Cdfs 898301F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x56 0xAE 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x9E 0xED 0x47 0xC9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x34 0xB9 0xDD 0x05 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x56 0xAE 0x35 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x9E 0xED 0x47 0xC9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x34 0xB9 0xDD 0x05 ...

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\DP95ZIHF\st[12] 4526 bytes
File C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JTJWQMT3\st[3] 4520 bytes

---- EOF - GMER 1.0.15 ----

[Malekal_morte]

Sauvegarde tes données importantes car on est pas à l'abri d'un plantage.



Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :

@ECHO OFF
START remover.exe DUMP \\.\PhysicalDrive0 C:\Malware.zip
START remover.exe fix \\.\PhysicalDrive0
EXIT

* Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
* Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.

Redémarre l'ordinateur

Envoie C:\Malware.zip sur http://upload.malekal.com
Regarde si Internet Explorer se lance encore.

[azral]

Petite question avant d'aller plus loin, si ça plante c'est à quel degré ?

[Malekal_morte]

Windows qui bootera pas, il faudra démarrer sur le CD et faire un fixmbr en console de récupération : https://www.malekal.com/console_recuperation.php

Mais ce fix a déjà été utilisé et jamais eu de plantage mais en informatique le 100% ça n'existe pas.

[azral]

Au lancement du .bat j'ai deux fois le messages d'erreur :
"Windows ne trouve pas 'remover.exe'. Vérifiez que vous avez entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquez sur le bouton Démarrer, puis sur Rechercher"

Après redémarrage,
pas de fichier malware.zip sur le disque C et le processus iexplorer est toujours présent.

[Malekal_morte]

Tu as bien décompressé tout le contenu de http://www.esagelab.com/files/bootkit_remover.rar sur ton bureau ?

Tu as bien mis le .bat sur ton bureau ?

[azral]

Autant pour moi, je m'étais trompé de session. J'espère que ça ne fausse pas les résultats
Qui plus est, j'avais décompresser le bootkir_remover sur le bureau, mais dans un nouveau dossier... (idem, j'espère que ca ne fausse pas les résultats).

Sinon, le .bat s'est bien lancé, deux fenêtres noires sont apparus.
Après redémarrage, le processus iexplorer a disparu mais toujours aucune trace du malware.zip sur le disque C.