Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

[neuneu]

Bonjour à tous,

Technicien de maintenance informatique à mon compte depuis 2006, je fais appel à votre aide bienveillante de temps à autre quand je suis confronté à un cas plus dur que les autres.

l'ordinateur sous win 7 x64 sur lequel je travaille semble etre infecté par un trojan de type Zeus, caché dans svchost, il installe des pilotes : winmon.sys et winmonfs.sys, des tasks, des programmes ( cloudnet ect ect ) desactive les maj windows et empeche la réparation, il doit aussi faire du man in the middle sur le navigateur bref, un coup de main va m’être nécessaire.

je pourrais réinstaller windows, mais nettoyer est tellement plus passionnant ^^

je vous joins les rapports FRST

amicalement

Neuneu

[Malekal_morte]

Bonsoir,

Envoie le fichier C:\Windows\rss\csrss.exe sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-1520061617-3741037964-555746360-1000\...\Run: [WispyResonance] => C:\Windows\rss\csrss.exe [4503552 2019-02-02] ()
 Task: {EFFBF997-A925-4706-A857-060CE053DF3C} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2019-02-02] ()
C:\Windows\rss\csrss.exe
 R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ATTENTION (zéro octet Fichier/Dossier)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zéro octet Fichier/Dossier)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2019-02-02] () [Fichier non signé]
 EmptyTemp:
Hosts:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


Refais un scan FRST et donne à nouveau les rapports.

[neuneu]

bonsoir Malekal,

pas de dossier RSS dans windows meme en caché

correction FRST en cours

[neuneu]

re,

voici le résultat de la dernière analyse, sachant que 3 fenetres apparaissent très rapidement, m'indiquant que je n'ai pas de pilotes signés pour

winmon.sys
winmonfs.sys
et winmonmonitorprocess

[Malekal_morte]

sauf que C:\Windows\rss\csrss.exe tourne toujours.
Refais la correction FRST et donne le rapport de correction.

[neuneu]

je joins les deux fixlogs . Le old, c'est le premier et fixlog c'est le deuxieme essai

j'ai toujours " windows requiert un pilote signé numériquement "
" Un programme récemment installé a tenté d'installer un pilote non signé. Cette version de Windows requiert une signature valide pour tous les pilotes. Ce pilote n'est pas disponible et le programme qui l'utilise risque de ne pas fonctionner correctement. Desinstallez le programme ou le périphérique bla bla bla.

Pilote : inconnu
service WinmonProcessMonitor

à plus tard,

Neuneu

[neuneu]

point intéressant : je ne vois pas rss dans l'explorateur, si je fais un copier coller de c:\windows\rss dans ma barre d'adresse, il me met un message d'erreur.

Par contre, sur un cmd, j'y accede, un seul fichier csrss.exe est présent, recréé immédiatement après son déplacement je suppose.
je ne peux pas le copier pour l'envoyer, acces refusé.

[neuneu]

ah, voilà, avec un cmd admin, j'ai réussi a le copier sur c:\ , le rendre visible et l'envoyer sur upload.malekal.com

on avance ^^

Neuneu.

[Malekal_morte]

Essaye ce cette correction en mode sans échec de Windows

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1520061617-3741037964-555746360-1000\...\Run: [WispyResonance] => C:\Windows\rss\csrss.exe [4503552 2019-02-02] ()
Task: {EFFBF997-A925-4706-A857-060CE053DF3C} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2019-02-02] ()
C:\Windows\rss\csrss.exe
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ATTENTION (zéro octet Fichier/Dossier)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zéro octet Fichier/Dossier)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2019-02-02] () [Fichier non signé]
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
EmptyTemp:
Hosts:
RemoveProxy:
Reboot:

Refais un scan FRST puis donne à nouveau les rapports.

[neuneu]

Il refuse un f8 au demarrage. Je vais essayer par un mode de diagnostic

[Malekal_morte]

Pas terrible la détection de l'exe :

11 engines detected this file
SHA-256 e54bb7bff169d16f77e894603b89db455e88d311fb92c47c58ab566da3a23c32
File name csrss.exe
File size 4.34 MB
Last analysis 2019-02-02 23:08:51 UTC
Community score -53

Cylance Unsafe
eGambit Unsafe.AI_Score_77%
Endgame malicious (moderate confidence)
Microsoft Program:Win32/Unwaders.C!ml
Palo Alto Networks generic.ml
Qihoo-360 HEUR/QVM11.1.F7CF.Malware.Gen
Rising Malware.Obscure/Heur!1.9E03 (TFE:dGZlOgXe0Vt5wm44IQ)
Sophos ML heuristic
Symantec Packed.Generic.516
Trapmine malicious.moderate.ml.score
VBA32 BScope.Trojan.Chapak

~~

En dernier lieu, si on arrive pas à le supprimer, il faudra utiliser le Live CD Malekal
Tu démarres l'ordinateur dessus et tu supprimes manuellement :
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\rss\csrss.exe

[neuneu]

y en a un qui ne veux pas partir.... du coup, forcément, 'c'est encore là.

j'ai réussi une fois a l'envoyer en mode sans echec pur, à l'occasion d'un ecran bleu, je ne vois pas comment le forcer à me donner la liste des modes hors spammer F8 au démarrage....

quand je vais dans les parametres de démarrage, j'ai un windows 7 fast mode et un windows 7, fast mode est par défaut, j'essaye de passer en windows 7 pour voir si ca change quelque chose

[neuneu]

aux grands maux, les grands remèdes, j'ai coupé windows comme une brute après chargement complet......

ce qui me donne acces au mode sans echec

le fixlog me plait plus, tout est enlevé, pas d'apparition de fenetre de pilote non signés après redémarrage, ce qui est bon signe... cependant, csrss.exe est toujours là

[neuneu]

voilà le rapport FRST, je vois du cloudnet et du windefender

[Malekal_morte]

Fais le ménage avec le Live CD Malekal.