Attaques port UDP, rundll32 suspect...

[invite4b2860f3]

Bonjour,
j'ai en ce moment une infection sur mon pc de bureau, et j'ai déjà essayé pas mal de trucs...

symptômes :
- ralentissement explorer
- ralentissement voir quasi bloquage Firefox
- pop-ups d'ad-wares, parfois installations proposées
- attaques nombreuses par le port d'UDP ouvert pour Emule (enfin un port UDP ouvert epxrès quoi)
- processus rundll32.exe en trois instances dans le gestionnaire des tâches.

config :
Windows XP SP2, dernier Firefox
ZoneAlarm
Ad-Aware
Norton Anti Virus
Hijackthis

Touts les logiciels sont à jour (sauf XP).
J'ai aussi fait un tasklist sur svchost, il semble être derrière des processus honnêtes. J'ai remplacé mon rundll32.exe par un tout frais.
J'ai l'impression qe si je ferme le port UDP, puis que je nettoie le pc, les choses sont stables. Mais si je le rouvre, les mêmes malwares (et peut-être d'autres) sont téléchargés.

Vous pouvez aussi jeter un œil sur http://www.commentcamarche.net/forum...ndll32-suspect
j'y est mis des logs en plus.

Merci d'avance!!

P.S. : lors de l'execution de DiagHelp, deux erreurs 53 sont survenues (n'arrive pas à trouver Lfiles.exe, qui était pourtant bien présent dans le même dossier que go.cmd), et une tentative d'accès à la page web du développeur a eu lieu (je suppose que ceci est normal). L'outil semble cependnat avoir fait son travail.
-----

[Cyrrus]

Bonsoir,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix

Bonne soirée
Cyrrus

[invite4b2860f3]

Voila voila (nota : faudrait pe mettre dans les trucs à faire avant de poster l'utilisation de combofix, je crois que c'est pas marqué).

Sinon c'est marrant, j'ai débranché le câble ethernet, et maintenant dans mon log hijackthis y'a d'avantage d'entrées malsaines

[Cyrrus]

Bonsoir,

• Télécharge le fichier suivant (clic droit - enregistrez sous) : http://pagesperso-orange.fr/ruscry/CFScript.log
• Renomme le en CFScript.txt
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[invite4b2860f3]

Voila voila...
J'ai pas pu poster mon rapport sdfix car le programme m'affiche "HLVDD cannot find ///FAST hardlock driver", puis "HLVDD.DLL : initialisation du pilote instable a échoué". J'ai aussi essayé de faire "a" au lieu de "y", afin de créér un rapport, mais il réagit de la même manière.

J'ai également désinstallé Symantec AntiVirus, le pc marche beacoup plus vite depuis, peut-être qu'il est sain maintenant?

Merci

[Cyrrus]

Bonsoir,

le pc marche beacoup plus vite depuis, peut-être qu'il est sain maintenant?

Aucune idée, on va vérifier, l'infection était très sévère.


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bonne soirée
Cyrrus

[invite4b2860f3]

Oui je confirme que l'infection n'était pas finie... Voici les logs, au pluriel car j'ai d'abord fait un scann rapide puis un scann complet (car le premier scan complet avait disons pas fonctionné enfin peu importe).

Merci pour votre aide.

[Cyrrus]

Bonjour,

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

-------------------------------
Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

[invite4b2860f3]

Désolé de pas avoir répondu plus tôt...
Voici les logs. A noter que pendant un court instant (20aine de secondes tout au plus, j'ai été connecté à internet sans protection (ZoneAlarm), juste avant le scan en ligne Kaspersky.

Merci beaucoup pour votre aide!

[Cyrrus]

Bonjour,

Télécharge Flash disinfector

Execute le.

Pour afficher les fichiers et dossiers cachés du systéme :

* Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
* Cocher la case : Afficher les fichiers et dossiers cachés
* Décocher la case : Masquer les extensions des fichiers dont le type est connu
* Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation
* Cliquer Appliquer puis OK

Ouvre tout tes supports amovibles par clic droit - Explorer (surtout pas double cliquer) et supprime le fichier autorun.inf à la racine du support. Passe en suite flash disinfector avec le support connecté.

+ d'infos > http://forum.zebulon.fr/infections-p...s-t131959.html

Bonne journée
Cyrrus

[invite4b2860f3]

C'est fait, mais le seul disque amovible que j'ai est une clef flash (j'ai aussi un disque mais je ne l'ai pas connecté depuis assez longtemps). De plus quand je la connecte a cet ordinateur (qui n'est pas celui qui est infecté) il n'y a aucun signe d'attaque. Je pense que tout est celan de ce côté là.
Cependant même s'il n'y a aucun signe évident de coruption mon ordinateur atteint tourne encore lentement...

[Cyrrus]

Bonsoir,

Cette enteur est apparut en même temps que l'infection ?

Bonne soirée
Cyrrus

[invite4b2860f3]

Oui, et il s'agit bien d'une erreur liée à l'infection, mon pc n'a pas été entretenu ce dernier mois mais il a eu des defrag régulières avant, pas de nouveaux progs installés me semble-t-il, services et process "inutiles" enlevés....

[Cyrrus]

Bonsoir,

Lorsque tu regardes le gestionnaire des tâches où en est l'utilisation de l'UC ?

Bonne soirée
Cyrrus

[invite4b2860f3]

2% .... je commence à penser que le mal a déjà été fait.. enfin au pire je peux formater le pc...