Infections svchost, explorer et iexplore

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Sims38

Infections svchost, explorer et iexplore

par Sims38 »

Bonjour,

sur des serveurs 2003 R2 32bits, je rencontre un problème d'infection de svchost.exe, explorer.exe, iexplore.exe.
A priori seul roguekiller détecte quelque chose et nettoie les exe mais à l'ouverture de session suivante, ils réapparaissent sur le profil utilisateur.

Le malware redirige les requêtes http d'un port 80 sur un port 4080 vers l'adresse ip 5.175.225.48.

Malgré des essais avec de nombreux outils je n'arrive pas à trouver la source de l'infection. Certains ne sont pas dispo pour les serveurs (DDS, Combofix).
Pourriez vous m'aider ?

Merci.
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Bonsoir, merci pour la réponse.

J'ai des messages d'erreurs :
Windows - Pas de disque
Exception Processing Message c0000013 Paramters ...

Que je fasse continuer, recommencer ou annuler. Le message revient.

Peut être un problème de gestion du pilote des disques du serveur (c'est une machine virtuelle) ?
Merci.

Edit : Au temps pour moi, finalement les fichiers sont générés, je refais le scan et je les joins.

Edit2 : voici les fichiers du second scan, en faisant Continuer à chaque message d'erreur.

http://pjjoint.malekal.com/files.php?id ... b7q13d11j5
http://pjjoint.malekal.com/files.php?id ... e6u6x14n11
http://pjjoint.malekal.com/files.php?id ... 1p11d8n8d9
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

Il n'y a rien d'anormal sur les rapports.
Vous avez passé Hitman Pro ?
il a détecté des choses ?

Pour ce qui est de RogueKiller, ce n'est pas parce qu'il affiche des choses, que ce sont obligatoirement des menaces.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Est ce que ça peut être parce que c'est le 2eme scan de FRST et que le 1er a supprimé des choses ?

On a une infection c'est sûr, pas d'accès internet possible sauf à rediriger les requêtes vers un proxy.
On voit les connexions vers l'adresse ip qui correspond à un site en Allemagne : http://www.whatmyip.co/info/whois/5.175.225.48

On a retracé le mail qui a provoqué l'infection par le gestionnaire, qui après l'avoir laissé passer, l'a finalement bloqué. Mais pour le moment ils ne savent pas nous dire qu'est ce qu'ils ont identifié dans la pièce jointe.

Hitman pro, il me semble l'avoir essayé mais je vais vérifier.

Au cas ou je joins les 1ers rapport de FRST :
http://pjjoint.malekal.com/files.php?id ... 1115w15y11
http://pjjoint.malekal.com/files.php?id ... r6c13d15w8
http://pjjoint.malekal.com/files.php?id ... p6d10o10z9
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

Tu peux scanner ce fichier : C:\Documents and Settings\adminsims\Local Settings\Temp\dynwrapx.dll
sur http://www.virustotal.com et donner le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

https://www.virustotal.com/fr/file/541d ... 418292771/

Apparemment certains le référence depuis hier.
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

Humm si c'est vraiment Sality, c'est pas bon du tout :(
CMC Virus.Win32.Sality!O 20141211
~~

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2014-12-10 23:22 - 2014-12-10 23:22 - 00029184 _____ (Microsoft Corporation) C:\Documents and Settings\admin\Local Settings\Temp\mshta.exe
2014-12-10 23:22 - 2014-12-10 23:22 - 00014848 _____ () C:\Documents and Settings\admin\Local Settings\Temp\dynwrapx.dll
2014-12-10 23:22 - 2014-12-10 23:22 - 00000469 _____ () C:\Documents and Settings\admin\Local Settings\Temp\mshta.exe.manifest
2014-12-10 23:22 - 2014-12-10 23:22 - 00000414 _____ () C:\Documents and Settings\admin\Local Settings\Temp\dynwrapx.sxs.manifest
2014-12-10 23:19 - 2014-12-11 00:36 - 00000000 ____D () C:\Documents and Settings\admin\Local Settings\Temp\1
HKU\S-1-5-19\...\Run: [internat.exe] => C:\WINNT\system32\internat.exe [20752 1999-12-16] (Microsoft Corporation)
HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 34 more characters).
HKU\S-1-5-19\...\RunOnce: [^SetupICWDesktop] => C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe [220160 2007-03-07] (Microsoft Corporation)
HKU\S-1-5-19\...\RunOnce: [tscuninstall] => C:\WINNT\system32\tscupgrd.exe [44032 2007-03-07] (Microsoft Corporation)
HKU\S-1-5-20\...\Run: [internat.exe] => C:\WINNT\system32\internat.exe [20752 1999-12-16] (Microsoft Corporation)
HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 34 more characters).
HKU\S-1-5-21-1614895754-854245398-725345543-1224\...\Run: [] => [X]
HKU\S-1-5-21-1614895754-854245398-725345543-1224\...\Run: [ctfmon.exe] => C:\WINNT\system32\ctfmon.exe [15360 2007-03-07] (Microsoft Corporation)
HKU\S-1-5-21-1614895754-854245398-725345543-1224\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 34 more characters).

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.


Faudrait redémarrer le serveur si c'est possible.


Fais un scan en ligne Trend-Micro : http://housecall.trendmicro.com/fr/
Enregistre le rapport et donne le ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Est ce que dans le texte que je colle dans FRST je peux mettre une variable %username%, car admin est un profil mais tous les utilisateurs semblent infectés ?
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

La DLL doit être légitime en fait : http://omen999.developpez.com/tutoriels ... cWrapperX/

Donc laisse tomber FRST.

Fais le scan en ligne Trend-Micro pour voir.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Scan toujours en cours...
Vu le nombre de fichiers...
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Où est ce que HouseCall enregistre son log ?

Edit : il crée des dossiers dans l'emplacement où il est exécuté.
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

Vous avez pu avoir le rapport ?

Sinon y a le scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/
A la limite ne scannez que le disque C.

et pourquoi pas vérifier si TDSSKiller détecte quelque chose : http://forum.malekal.com/tdsskiller-kas ... 28637.html

En tout cas le rapport FRST est vierge, donc on voit pas grand chose sur la source de ces connexions.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sims38

Re: Infections svchost, explorer et iexplore

par Sims38 »

Housecall tourne toujours.
Pas grand chose de détecté pour le moment.

TDSSKiller ne trouvait rien.
Malekal_morte
Messages : 111470
Inscription : 10 sept. 2005 13:57

Re: Infections svchost, explorer et iexplore

par Malekal_morte »

et bhé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »