Win32:Trojan-gen

[invite63c0045d]

Bonjour,

Il y a peu, avast a reperé ce virus ( ou autre peut être ) qu'il n'arrive pas à avoir, mes autres protections ne le détecte pas. J'ai essayé des outils de ma connaissance en mode sans échec ou autre et sans résultat. Je me suis donc poussé à vous demander conseil.

Avast m'indique que le souci est présent dans C:\WINDOWS\system32\syssrv.sys , fichier bien caché semble t'il. Je me suis permis de suivre la procédure préliminaire indiqué sur le site pour genèrer deux rapports, un par diaghelp, et un par hijackthis. Je vous les joins.

Merci d'avance.
-----

[invite9bff601c]

Bonjour,

peux-tu me dire ce que tu as déjà essayé ?

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée

[invite63c0045d]

Merci de la réponse très rapide.

Je dois avouer avoir eu pas mal de soucis avec combofix, probablement du à mon inexpérience. Il a d'abord refusé de lancer le scan en mode normal, je suis alors passé en sans échec où là le rapport s'est effectué. Malheuresement plus aucun moyen de retourner en session normale... J'ai cependant trouvé un point de restauration que combofix avait lui même crée, et son log est encore là. Bref, quelques sueurs froides sans apparemment de grandes conséquences.

Pour ce qui est de mes manipulations préalables, principalement des scans de mes protections ( zone alarm, ad aware, et avg anti spiware ) en mode sans échec, où j'ai toujours eu l'impression qu'ils fonctionnaient mieux.

Je joins les deux logs demandés.

[invite9bff601c]

Bonjour Karde,

Ton système est très infecté et il se peut qu'il ne résiste pas à la désinfection, je te conseille donc vivement de sauvegarder tous tes documents importants pour plus de sécurité.


Maintenant, et si tu veux poursuivre la désinfection, supprime Combofix de ton pc et déroule la procédure ci-dessous.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistre-le sur ton Bureau.

Fais un clic droit sur navilog1.zip et choisis tout extraire
Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le, en pièce jointe, dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

---------------------------------------------------------------------------

Dans ta prochaine réponse, j'attends les trois rapports suivant :

-> le rapport de SDFix
-> le rapport de Navilog1
-> Un nouveau log Hijackthis

Bonne journée

[A voir en vidéo sur Futura]

[invite63c0045d]

Bonjour,

Merci de tes précisions préliminaires, j'ai gravé ce qui est important en lieu sûr avant de poursuivre.

Pas de soucis notables à signaler par rapport aux nouveaux outils. Je joins les trois logs demandés.

Bonne journée.

[invite9bff601c]

Bonjour,

Dans un premier temps, et ce, jusqu'à la fin de la désinfection, désactive PrevX


Ensuite,

Double clique sur le raccourci Navilog1 présent sur le Bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver. ( sur ton Bureau par exemple )
Referme le blocnote. Ton bureau va réapparaitre.

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse, ainsi qu'un nouveau log HijackThis.

Bonne journée

[invite63c0045d]

Bonjour,

Pas de soucis à déclarer pendant les opérations effectuées, le PC et le bureau ont redémarrés d'eux mêmes.
Je joins les logs demandés.

Bonne journée.

[invite9bff601c]

Bonsoir,


Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Déroule la procédure ci-dessous :

"Démarrer" >> "Exécuter" >> colle ceci dans la boîte puis clique "Ok" :

"%userprofile%\Bureau\combofix .exe" /killall

Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée

[invite63c0045d]

Bonsoir,

Je ne sais pas si cela vient de mon navigateur, mais le lien de Combofix me renvoie à une page inexistante, j'ai essayé le premier lien en pensant que c'était le même, mais la commande exécuter me renvoie à une erreur, je suppose donc que ce n'est pas exactement le même outil.

Bonne soirée.

[invite9bff601c]

Re,

tu as tout à fait raison, ce n'est pas exactement le m^me outils, supprime toute version de combofix que tu peux avoir et voici le lien :

http://download.bleepingcomputer.com...a/ComboFix.exe

Bonne soirée

[invite9bff601c]

Bonjour,

tous les liens pour Combofix sont HS, donc pour le moment ne fait plus rien, on te donnera de nouvelles instructions,

Bonne journée

[invite63c0045d]

Bonjour,

Très bien, Combofix supprimé, j'attends un retour de votre part.

Bonne journée.

[invite275db609]

Bonsoir Karde

Igor sera absent quelques jours, si j'ai le temps, je prendrais la releve de tous ces topics en cours (si je tarde 1 ou 2 jours, relance-moi, pas dit que j'ai le temps de tout traiter).

Pour commencer, je te demanderais de jeter un coup d'oeil à cet article de Malekal_morte qui te montrera les lacunes du moment d'Avast.
Allons-y, ComboFix n'étant plus accessible pour l'instant, on va y'aller avec d'autres outils :

Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :
SC stop FTRTSVC
Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :
SC delete FTRTSVC
SC stop PREVXAgent
SC delete PREVXAgent

=============================

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: Unsd Class - {0CA6C3EA-2054-4011-BC9F-8BBC017A169C} - C:\Documents and Settings\Maxime\Application Data\SBSoft\uns.dll
O2 - BHO: SurfairyBHO Class - {BB9AAAF3-4F8D-48B5-A565-FF3E58433DC2} - C:\Program Files\Surfairy\SurfairyHlp.dll
O4 - HKCU\..\Run: [P4mx4] c:\windows\system32\p4mx4.exe
O4 - HKCU\..\Run: [Pwr32ctrl] c:\windows\system32\pwr32ctrl. exe
O4 - HKCU\..\Run: [Scrnsize] c:\windows\system32\scrnsize.e xe
O4 - HKCU\..\Run: [_SystemBoot] C:\WINDOWS\Help\Help\services. exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\ update.exe /startup
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

============================== ==

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\Documents and Settings\Maxime\Application Data\SBSoft
C:\Program Files\Surfairy
c:\windows\system32\p4mx4.exe
c:\windows\system32\pwr32ctrl.exe
c:\windows\system32\scrnsize.exe
C:\WINDOWS\Help\Help\services.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

============================== ====

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

=============================

Poste moi les rapports demandés (en pieces jointes) : OTmoveIT, KasperskyOnline, et un nouveau hijackthis.

Comment se comporte ta machine suite à ces manipulations ? des alertes ? des dysfonctionnements particuliers (décris les moi si jamais il y'en a)?

Bonne soirée

[invite63c0045d]

Bonjour Synthexe, merci de ton attention à toi et toute l'équipe.

Proprement édifiant le rapport dont tu m'as donné le lien sur la comparaison Avast!/Anti vir. Je me suis empressé de changer mes habitudes et de faire suivre ce lien à mes connaissances ( j'espère que ça ne dérange pas. ).

J'ai effectué les manipulations, en ce qui concerne l'état du système, je n'ai constaté aucun dysfonctionnement ( ceci dit je n'avais quasiment rien constaté avant l'alerte d'avast! non plus donc bon, on sent mes limites. ). Par contre, pendant le scan de Kasperky, Antivir a de lui-même repéré de nombreux troyans/fichiers sensibles que j'ai mis en quarantaine ou refusé l'accès, selon ce qu'Antivir me conseillait.

Je joins les 3 rapports. Par contre, Kasperky a enregistré le rapport au format HTML, refusé dans les pièces jointes du forum. Je me suis permis de copier/coller le résultat sur le bloc notes pour pouvoir le joindre.

Bonne journée.

[invite275db609]

Bonjour

Super boulot, que de bonnes initiatives.

Je me suis empressé de changer mes habitudes et de faire suivre ce lien à mes connaissances ( j'espère que ça ne dérange pas. )

Tu as très bien fait, continue, fais circuler le lien, il n'y a aucun souci.

Je me suis permis de copier/coller le résultat sur le bloc notes pour pouvoir le joindre.

Super, c'est exactement ce qu'il fallait faire.

Antivir a de lui-même repéré de nombreux troyans/fichiers sensibles que j'ai mis en quarantaine

Parfait encore une fois ... c'est la qu'on voit bien qu'Avast t'avait laissé passer pas mal de fichiers néfastes ...

============================== ====

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O4 - HKCU\..\Run: [Pwr32ctrl] c:\windows\system32\pwr32ctrl. exe

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

============================== ====

Relance OTmoveIT en copiant collant les lignes ci-dessous :

Code:

C:\WINDOWS\Connection Wizard\Status\packed1.sbr
C:\WINDOWS\Connection Wizard\Status\packed2.sbr
C:\WINDOWS\Connection Wizard\Status\packed3.sbr

============================== ==

Poste le rapport OTmoveIT et un nouveau hijackthis.

Où en sont tes dysfonctionnements ?
Ta machine se comporte-t-elle mieux ??

Bonne journée

[invite63c0045d]

Bonjour,

Alors alors... Au niveau des dysfonctionnements du système ( depuis l'alerte d'Avast! ), c'était principalement une utilisation trop importante de la mémoire du PC, ce qui le faisait crasher. Je n'ai plus ce souci actuellement. Après, vu que l'ordinateur avait l'air sérieusement infecté, je suppose qu'il y avait d'autres programmes dont les conséquences étaient moins visibles ( utiliser mon adresse mail pour envoyer des spams, obtenir des infos sur les sites webs que je visite etc). Là j'ai forcèment plus de mal à voir les résultats, mais niveau stabilité de la machine, plus aucun souci.

Je joins les deux rapports. Bonne journée.

[invite275db609]

Bonsoir

Fais ce qui suit :
Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :
SC stop "l33t"
Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :
SC delete "l33t"

Si tu n'as plus de dysfonctionnements, fais ce qui suit (si tu en as encore, ne fais pas ce qui suit et détaille moi tes dysfonctionnements) :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait télécharger (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Email-Worm.Win32.Sober.p

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invite63c0045d]

Bonjour,

J'ai effectué les dernières manipulations, et n'ayant plus rien à noter de génant sur le système, j'ai suivi tes conseils en allant déposer mon témoignage sur le site donné, c'était la moindre des choses.

Je tiens cependant à remercier ici toute l'équipe du forum, accueillante, patiente et extrèmement réactive ( j'ai cru comprendre que vous aviez des membres en vacances... et pourtant votre vitesse de réaction à toutes les plaintes est impressionante même pendant cette période. ).

Merci aussi pour les conseils de défense ( Anti vir, ou le dossier de prévention ) que je ferais sans nul doute suivre.

Cordialement, et bon courage à vous dans votre noble démarche.