Rootkit.TDSS rémanent et autres billevesées

[surgeon]

Bénédicités les pros de la disquette 5" 1/4

Comme je l'ai précisé dans ma présentation, je suis un bidouilleur informatique (vous savez ? le type de la pire espèce, le gars qui croît comprendre et fait ce qui lui semble pas mal, au feeling c'est moi). Du coup, j'ai parfois la charge de "nettoyer" les PCs de ceux qui n'y connaissent rien autour de moi. Et pour eux, je suis dieu tout puissant...
Mais, pour tout dire, comme je comprends pas tout, j'utilise parfois une méthode éprouvée dans les films d'action des années 80... La The Expendable méthode

Bref, j'ai récupéré le PC de mon ami Fabien, qui tourne sous Vista, qui clique partout lors des installations sans rien lire, et qui ne fait pas toujours les MAJ des logiciels parce que c'est fastidieux... Et depuis quelques semaines, son PC met 20 min à démarrer, il a 7 millions de ToolBars, des pages qui s'ouvrent un peu partout au démarrage et pas d'accès direct à la page d'accueil qu'il désire sur son navigateur web préféré.

J'ai commencé par balancer du CCleaner puis un Malware Bytes qui a viré 200 bestioles, à la louche. J'ai essayé de désinstaller les softs qui me paraissaient pas désirés mais, bien évidemment, certains ont décidé de faire de la résistance. Je me fais donc un petit ZHPDiag dont voici le rapport ZHPDiag1. J'y vois des trucs moches comme pour :

Code : Tout sélectionner

O39 VisualBee, O42 Boxore, Wajam, Adware.StarterTV, PUP.Eorezo, etc.

Ce ne sont ici que quelques exemples parce que le rapport recense quand même pas mal de problèmes dont le fameux

Code : Tout sélectionner

O81 Rootkit.TDSS

Je retrousse mes manches et j'envoies tout ce que je sais : du ZHPFix, TSSKiller, Roguekiller, Norman, ComboFix, AdwCleaner, je vais même dans la base de registre supprimer des entrées que les outils ne veulent/peuvent pas supprimer, à la main, comme un dingue ; je vais dans le cmd et je supprime à la main les fichiers/dossiers récalcitrants, bref, je suis en mode Commando (vous voyez le chef d'oeuvre avec Schwarzy ?). J'arrive bien à les avoir, un par un (parce que de temps en temps je ZHPDiag histoire de voir où j'en suis.). Les résultats se font sentir, l'ordinateur redémarre en 3 min, j'ai bien la page d'accueil que je veux au démarrage du navigateur web. Les choses semblent allées dans la bonne direction. Mais dans le dernier rapport, qui date de hier soir, malgré toutes les âneries que j'ai dû faire, il y a toujours des choses qui me chiffonne.

Notamment :

Code : Tout sélectionner

O43 - CFD: 15/08/2013 - 00:43:29 - [0,192] ----D C:\Program Files\Betcat
O43 - CFD: 29/06/2013 - 19:57:32 - [0] ----D C:\ProgramData\?%?%0
O43 - CFD: 23/06/2013 - 00:52:21 - [0] ----D C:\ProgramData\?(?(0
O43 - CFD: 01/07/2013 - 17:17:03 - [0] ----D C:\ProgramData\?.?.0
O43 - CFD: 14/08/2013 - 23:42:43 - [0] ----D C:\ProgramData\?0?0Ä0?08520-1533-40C5-AD09-953C574F14BCÄ0?0
O43 - CFD: 27/06/2013 - 17:59:18 - [0] ----D C:\ProgramData\?w?w0
O43 - CFD: 04/07/2013 - 11:43:59 - [0] ----D C:\ProgramData\??Ä?8520-1533-40C5-AD09-953C574F14BCā?
O43 - CFD: 29/06/2013 - 11:22:26 - [0] ----D C:\ProgramData\????0
O43 - CFD: 09/08/2013 - 00:08:52 - [0] ----D C:\ProgramData\????Ä???8520-1533-40C5-AD09-953C574F14BCÄ???
O43 - CFD: 02/07/2013 - 17:32:19 - [0] ----D C:\ProgramData\?©?©0
O43 - CFD: 26/06/2013 - 18:12:29 - [0] ----D C:\ProgramData\?´?´0
O43 - CFD: 08/08/2013 - 21:59:28 - [0] ----D C:\ProgramData\?æ?æÄæ?æ8520-1533-40C5-AD09-953C574F14BCÄæ?æ
O43 - CFD: 23/06/2013 - 00:58:44 - [0] ----D C:\ProgramData\?ù?ù0
O43 - CFD: 09/08/2013 - 00:04:46 - [0] ----D C:\ProgramData\?e?eÄe?e8520-1533-40C5-AD09-953C574F14BCÄe?e
O43 - CFD: 06/07/2013 - 03:07:37 - [0] ----D C:\ProgramData\????Ä???8520-1533-40C5-AD09-953C574F14BCÄ???
O43 - CFD: 29/06/2013 - 13:51:01 - [0] ----D C:\ProgramData\?U?U0
O43 - CFD: 03/07/2013 - 14:03:38 - [0] ----D C:\ProgramData\?U?UÄU?U8520-1533-40C5-AD09-953C574F14BCÄU?U
O43 - CFD: 20/07/2013 - 22:21:04 - [0] ----D C:\ProgramData\?U?UÄU?U8520-1533-40C5-AD09-953C574F14BCÄU?U
O43 - CFD: 04/07/2013 - 15:47:20 - [0] ----D C:\ProgramData\?k?kÄk?k8520-1533-40C5-AD09-953C574F14BCÄk?k
O43 - CFD: 01/07/2013 - 00:11:16 - [0] ----D C:\ProgramData\?o?o0
O43 - CFD: 23/06/2013 - 16:59:12 - [0] ----D C:\ProgramData\?o?o0
O43 - CFD: 01/07/2013 - 11:59:37 - [0] ----D C:\ProgramData\????0
O43 - CFD: 09/08/2013 - 00:53:28 - [0] ----D C:\ProgramData\????Ä???8520-1533-40C5-AD09-953C574F14BCÄ???
O43 - CFD: 30/06/2013 - 11:42:40 - [0] ----D C:\ProgramData\????0
O43 - CFD: 23/06/2013 - 23:57:22 - [0] ----D C:\ProgramData\????0
O43 - CFD: 01/07/2013 - 12:44:26 - [0] ----D C:\ProgramData\????0
O43 - CFD: 29/06/2013 - 03:30:56 - [0] ----D C:\ProgramData\????0
O43 - CFD: 02/07/2013 - 22:57:51 - [0] ----D C:\ProgramData\????
O43 - CFD: 04/07/2013 - 00:49:43 - [0] ----D C:\ProgramData\????
O43 - CFD: 02/07/2013 - 22:53:00 - [0] ----D C:\ProgramData\????
O43 - CFD: 02/07/2013 - 22:54:49 - [0] ----D C:\ProgramData\?"?"
O43 - CFD: 10/08/2013 - 00:42:49 - [0] ----D C:\ProgramData\????
O43 - CFD: 15/08/2013 - 01:49:51 - [0] ----D C:\Users\Fabien\AppData\Roaming\Betcat
O43 - CFD: 26/09/2012 - 22:48:15 - [0,001] ----D C:\Users\Fabien\AppData\Roaming\fr.barrierepoker.air.D043989C8F5E91300BF71855036B28F854BB8613.1
O43 - CFD: 09/08/2013 - 00:09:47 - [0,029] ----D C:\Users\Fabien\AppData\Local\emaze

Fabien veut garder barrierepoker et j'arrive pas à supprimer le reste dans cmd même en le lançant en mode admin dans le mode sans échec (pourquoi y'a un mode admin dans le mode sans échec d'ailleurs ?). Je sais que emaze c'est pas beau et que j'ai effacé quelque chose à ce propos durant mon attaque commando mais il est toujours là. Puis tous ces points d'interrogation et ces fichiers/dossiers bizarres

Code : Tout sélectionner

k8520-1533-40C5-AD09-953C574F14BC

ça ne me dit rien qui vaille. J'ai bien pensé à changer les droits accès aux fichiers/dossiers mais j'ai peur de faire une bêtise n'ayant rien trouvé à ce sujet sur le web.

Le plus ennuyeux, à mon sens, reste :

Code : Tout sélectionner

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS

qui reste là malgré que j'ai changé le nom des exécutables au lancement.
Ce qui me chagrine c'est que quand je lance chrome, de temps en temps une toolbar s'installe et chrome demande d'éventuellement la supprimer directement. Je subodore que ça vient du rootkit mais, à vrai dire, j'en sais rien.

Puisque je vois que QVO6 fait des émules en ce moment, je signale au passage que je l'ai vu passer et que je crois que j'ai réussi à le supprimer. Mais comme son nombre de victime semble aller croissant, ça vient aussi peut être d'un truc que j'ai pas bien fait à ce niveau là.

Voilà. J'ai aussi un rapport OTL et d'autres TSSKiller ou RKreport mais il n'indique aucune infection. Seul ZHPDiag m'inquiète un peu et je crois pas que ce soit un faux positif.

Bien évidemment si quelque chose m'a échappé et vous saute aux yeux je prends les infos

Merci de ne pas trop me taper sur les doigts et de m'aider à aider Fab

Bonne soirée

[Malekal_morte]

Salut,

Ce qui est détecté par ZHPDiag, ce n'est pas TDSS, mais des modifications effectuées par TDSS.
Donc si à un moment donné, le PC a choppé TDSS, ces modifications ont eu lieu et ZHPDiag va les montrer à chaque fois.

Vu que TDSSKiller et RogueKiller détectent plus rien, y a plus de TDSS.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[clicketreflechiapres]

bonjour, je suis Fabien, le pote de surjeon, qui click partout sans reflechir. G recupere mon ordi et realise les instructions a la lettre. Voici le lien du rapport OTL. Un grand pour votre aide.
http://pjjoint.malekal.com/files.php?id ... 4z8z11m7h7

[Malekal_morte]

Il reste des merdes.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Users\Fabien\AppData\Local\Temp\PM.exe -- (PM)
SRV - File not found [On_Demand | Stopped] -- C:\Users\Fabien\AppData\Local\Temp\MH.exe -- (MH)
SRV - File not found [On_Demand | Stopped] -- C:\Users\Fabien\AppData\Local\Temp\KTJVSB.exe -- (KTJVSB)
FF - HKLM\Software\MozillaPlugins\@tools.Software.com/Software Update;version=3: C:\Program Files\Software\Update\1.3.25.0\npSoftwareUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.Software.com/Software Update;version=9: C:\Program Files\Software\Update\1.3.25.0\npSoftwareUpdate3.dll File not found
[2013/08/18 21:18:32 | 000,000,000 | -HSD | C] -- C:\.BIN


* redemarre le pc sous windows et poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MoveIT.zip
Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

[clicketreflechiapres]

bonjour,
voici le 1er fait en mode sans échec.
http://pjjoint.malekal.com/files.php?id ... 14p12e7w13

[Malekal_morte]

Heu pourquoi tu as refait un scan ?
Je t'ai donné une correction à faire.

[clicketreflechiapres]

oups le pour le rapport precedent g juste fais un scan comme un idiot. Voici donc le 1er rapport de correction en mode sans echec
http://pjjoint.malekal.com/files.php?id ... 5u714e7z11

[clicketreflechiapres]

voici le 2eme rapport de correction sous windows
http://pjjoint.malekal.com/files.php?id ... 5d14i11g12

[clicketreflechiapres]

je n'ai pas de dossier move IT, je n'ai q'un dossier movedfiles.

[Malekal_morte]

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-an ... mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

[clicketreflechiapres]

http://pjjoint.malekal.com/files.php?id ... 5s9w13z7i5

[Malekal_morte]

Tu as fait un scan Malwarebyte antimalware non MBAR.
Relire les instructions.

[clicketreflechiapres]

http://pjjoint.malekal.com/files.php?id ... 7y8v10r6y7

[Malekal_morte]

Ca doit être good.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité :

• Google Chrome (paragraphe Plugin) : https://www.malekal.com/2013/01/14/secu ... le-chrome/
• Internet Explorer (paragraphe plugin Jav) : https://www.malekal.com/2010/11/12/secu ... xplorer-2/
• Firefox : https://www.malekal.com/securiser-le-na ... firefox-2/

~~

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/



~~

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[clicketreflechiapres]

Je te remercie infiniement de ta patience et de ton aide. Je serais désormais bien plus attentif.