[Résolu] Infection Boxore, cmwf et cmwr.sys

[elendell]

Bonjour,

Mon Win7 64 a une infection dont je ne parviens pas à me débarrasser.
Cela semble être lié à un certain service cmwf et au fichier cmwr.sys ainsi qu'à Boxore Client.

J'ai essayé adwcleaner et Malwarebytes en plus de ZoneAlarme mais sans succès. AdwCleaner les trouve et les supprime d'après son rapport mais ils sont toujours là après redémarrage. Roguekiller quand à lui se bloque systématiquement pendant le scan de cmwr.sys, qu'il ne parvient pas à passer (c'est ce qui m'a fait penser que ce fichier est concerné).

Boxore Client, je le désinstalle avec Ccleaner ou la désinstallation windows mais il revient lui aussi toujours au redémarrage. Révo uninstaller ne le liste jamais dans la liste des programmes mais Ccleaner le liste.

J'ai tout essayé en mode normal, puis en sans échec. J'ai aussi essayé de supprimer manuellement cmwr.sys mais j'obtiens un message me disant que le fichier est trop gros pour être supprimé (il ne fait que quelques Ko).

J'ai aussi essayé la restauration des fichiers système de windows mais aucun point de restauration ne fonctionne.
J'ai envie d'essayer combofix mais je ne connais pas ce programme et ne sais s'il peut être utile dans mon cas.

Il y a un autre sujet concernant une infection avec cmwf et cmwr mais ça me semble hasardeux d'essayer la solution proposée qui était une réponse à un cas précis, concernant également d'autres fichiers.
Elle est ici : http://forum.malekal.com/infection-par- ... 50418.html

Voici les liens de mes rapports Adwcleaner et FRST :

http://pjjoint.malekal.com/files.php?id ... v10b7m13o9
http://pjjoint.malekal.com/files.php?id ... z15s12l6t5
http://pjjoint.malekal.com/files.php?id ... 11q12o6h14

Quelqu'un aurait-il la gentillesse de m'aider ?

[Malekal_morte]

Salut,


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

R1 cmwf; C:\Windows\system32\Drivers\cmwf.sys [33952 2015-01-07] () [File not signed]
R1 cmwr; C:\Windows\system32\Drivers\cmwr.sys [45216 2015-01-07] () [File not signed]
FF Extension: yogurttree - C:\Users\André\AppData\Roaming\Mozilla\Firefox\Profiles\nrvo7wod.default\Extensions\[email protected] [2015-01-08]
FF Extension: SearchNewTab - C:\Users\André\AppData\Roaming\Mozilla\Firefox\Profiles\nrvo7wod.default\Extensions\[email protected] [2015-01-08]
2015-01-13 04:03 - 2015-01-07 21:07 - 00045216 _____ () C:\Windows\system32\Drivers\cmwr.sys
2015-01-13 04:03 - 2015-01-07 21:07 - 00033952 _____ () C:\Windows\system32\Drivers\cmwf.sys
2015-01-13 04:03 - 2015-01-07 20:54 - 00370688 _____ (CartCrunch Israel Ltd.) C:\Windows\system32\ColorMedia64.dll
2015-01-13 04:03 - 2015-01-07 20:54 - 00324776 _____ (CartCrunch Israel Ltd.) C:\Windows\SysWOW64\ColorMedia.dll
cmd: netsh winsock reset

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[elendell]

Merci pour ton aide.

J'ai fait l'opération que tu m'as indiquée mais ça n'a rien changé. Boxore Client, cmwf et cmwr sont toujours là.

Voici les nouveaux résultats d'analyses, faites après le fix et un redémarrage :
http://pjjoint.malekal.com/files.php?id ... u9p15v10g8
http://pjjoint.malekal.com/files.php?id ... g13d9s6i11

J'ai oublié de signaler dans mon précédent message une de mes actions (avant de poster) pour tenter de résoudre le problème. Peut-être cela est-il indicatif ?
J'avais dans mon dossier "démarrage" le fichier : "msupdthhzi.exe". Ne me souvenant pas l'avoir vu avant, je l'ai déplacé pour tester sans lui au démarrage. Je n'ai vu aucun changement mais il n'était donc pas lancé lors de mes analyses postées.

Devrais-je le remettre dans le dossier "démarrage" ?
Peux-tu me proposer un autre "fix" ou une autre manipulation pour mon problème non résolu ?

EDIT :

J'avais oublié le lien du fixlog : http://pjjoint.malekal.com/files.php?id ... 10o7b15g14

[Malekal_morte]

Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
cmwf
cmwr
file::
C:\Windows\system32\Drivers\cmwr.sys
C:\Windows\system32\Drivers\cmwf.sys
C:\Windows\system32\ColorMedia64.dll
C:\Windows\SysWOW64\ColorMedia.dll



Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

[elendell]

Salut,

Voici le lien du résultat demandé : http://pjjoint.malekal.com/files.php?id ... 9u10q14r12

EDIT (précision) :

(Les fichiers autoruns supprimés par combo ne sont que des fichiers persos servant à mettre des icônes aux lecteurs de disque dans l'explorateur. Sans rapport avec l'infection, donc).

[elendell]

Hello,

Je me permets de relancer par crainte que mon sujet n'ai été oublié. (Mille excuses si ce n'est pas le cas).
Le fichier posté révèle-t-il quelque chose pouvant m'aider à éliminer les indésirables ?

[Malekal_morte]

Supprime ces fichiers :
c:\windows\system32\drivers\cmwr.sys
c:\windows\system32\drivers\cmwf.sys
c:\windows\SysWow64\ColorMedia.dll
c:\windows\system32\ColorMedia64.dll

Refais une analyse FRST et donne les liens via pjjoint.

[elendell]

Bonjour,

Ce n'est pas possible de faire ce que tu me demandes (sans autre précision) :

"ColorMedia64.dll" ne peut pas être supprimée, même en mode minimal (sans échec) car elle est "en cours d'utilisation".
"ColorMedia.dll" ne peut être supprimée qu'en mode sans échec.
"cmwr.sys" et "cmwf.sys" peuvent maintenant être supprimés, même en mode normal (c'est un progrès).

J'ai donc supprimé les 3 fichiers possibles sur les 4 demandés mais au redémarrage, cela me donne ces messages d'erreurs :
Erreur de Socket. Le port local 110 est déjà utilisé par un autre programme...
idem pour les ports 995, 143 et 993.

De plus, il n'est plus possible d'utiliser Firefox. Il se lance mais il est impossible de naviguer avec. Il reste obstinément sur la page en cours. J'ai donc dû restaurer les 3 fichiers supprimés manuellement pour ne plus avoir ces messages d'erreur et pour pouvoir de nouveau naviguer avec Firefox et te répondre.


EDIT :

Je viens de supprimer à nouveau uniquement les 2 fichiers "cmwr.sys" et "cmwf.sys". Cela a éliminé "Boxore" de ma liste de programmes et Ad-Aware ne détecte plus le service ni les fichiers après redémarrage. Firefox fonctionne normalement.
Reste donc "ColorMedia64.dll" et "ColorMedia.dll". Doivent-ils être éliminés ou non ?
Voici le nouveau rapport FRST : http://pjjoint.malekal.com/files.php?id ... 13g8r11q12.

[Malekal_morte]

Refais un nettoyage Combofix avec le CFScript, tout comme la fois d'avant.
Fais ça : viewtopic.php?f=96&t=50466

et ça devrait rouler.

[elendell]

Bonne nouvelle.
J'ai fait ce que tu m'as dit (après avoir dû redémarrer suite au nettoyage de Combo car cmd ne voulait plus fonctionner) et tout semble être rentré dans l'ordre.

Les 4 fichiers sont maintenant en quarantaine, plus de trace d'eux ailleurs dans le PC et Firefox et cmd fonctionnent.

Donc effectivement, ça roule.

Un grand merci pour ton aide précieuse et le temps que tu m'as consacré !

[Malekal_morte]

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.
(sauf si tu es sur un netbook)

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html