Infection par cle USB (8xcrbho6) - dual boot

[Résolu/Fermé]
Signaler
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010
-
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010
-

Bonjour.
Mon PC a ete infecte le 9 avril dernier par une cle USB. L'attaque par 8xcrbho6.exe a ete detectee par Bitdefender 2009, mais pas totalement bloquee.

- Symptomes : demarrage anormalement long, freeze d'applications courantes et notamment de l'explorateur Windows ou le gestionnaire de taches par exemple.

- Particularites de la configuration :
* 2 OS en dual boot (XP Home et XP Pro, tous deux en SP3) chaque partition systeme etant situee sur un disque dur (HD) distinct.
* OS XP Home et XP Pro, antivirus BitDefender 2009 (XP Home et Pro) et pare-feu Outpost Firewall (XP Home) mis a jour automatiquement.
* Hebergement de machines virtuelles sous VMWare (Fedora notamment).
* Possibilite d'examiner de l'exterieur les partitions Windows depuis un CD Live Knoppix v 5.1.

- Actions entreprises sur chaque HD avec le reseau OFF :
* restoration de chaque OS a une date anterieure a celle de l'infection.
* verification de la presence du patch MS KB958644 : OK.
* nettoyage par AD-Remover.
* nettoyage par USBFix.
* nettoyage par Malwarebytes' Anti-Malware (apres mise a jour en ligne).
* analyse approfondie de toutes les partitions systeme et data par l'antivirus.

Malgre ces mesures, les symptomes d'infection persistent (demarrage tres long, freeze d'applications) sur les deux systemes et ma messagerie recoit des mails infectes bloques en amont par le serveur de messagerie (HTML.Phishing.Bank aujourd'hui meme).

Merci de verifier mon approche et de m'aider a faire le menage.

Herbert.

9 réponses


Avant de poursuivre sur l'autre système (XP Home), il n'est peut être pas absurde de finaliser la stabilisation de XP Pro.

==> Ok...pas faux!

Lance hijackthis ainsi :
Vas dans C:\Program Files\trend micro\rené.exe
et double clic sur rené.exe

Choisi"Do a system scan only"et coche les lignes suivantes:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

==> Appuie sur "Fix Checked" et redémarre le pc.


Pour desinstaller les outils utilisés

Telecharge ToolsCleaner2--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 24 h

IMPORTANT:

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

hijackthis et ToolsCleaner2 sont passés.

Voici le rapport TCleaner.txt :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Documents and Settings\rené\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\rené\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\rené\Bureau\Menage\ComboFix.exe: trouvé !
C:\Documents and Settings\rené\Bureau\Menage\HJTInstall.exe: trouvé !
C:\Documents and Settings\rené\Bureau\Menage\Ad-R.exe: trouvé !
C:\Documents and Settings\rené\Bureau\Menage\UsbFix.exe: trouvé !
C:\Documents and Settings\rené\Mes documents\Téléchargements\ComboFix.exe: trouvé !
C:\Documents and Settings\rené\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\rené\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\rené\Bureau\Menage\ComboFix.exe: supprimé !
C:\Documents and Settings\rené\Bureau\Menage\HJTInstall.exe: supprimé !
C:\Documents and Settings\rené\Bureau\Menage\Ad-R.exe: supprimé !
C:\Documents and Settings\rené\Mes documents\Téléchargements\ComboFix.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\rené\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\rené\Bureau\Menage\UsbFix.exe: supprimé !
C:\Documents and Settings\rené\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Je termine par CCleaner et la purge des points de restauration système.

Si j'interprète correctement cette dernière phase, pour XP Pro, on a fait le tour.

Je poursuivrai donc sur XP Home avec List_Kill'em (en prenant soin de laisser le disque XP Pro déconnecté tant que XP Home n'est pas à son tour nettoyé).

A+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Le disque XP Pro étant nettoyé, il est déconnecté tant que nous n'avons pas terminé avec XP Home.

Les étapes déjà réalisées sur XP Home (RSIT puis ComboFix) n'ayant pas permis d'éliminer les symptômes, j'ai lancé List_Kill'em.

Résultat de List_Kill'em sur le disque XP Home :
Kill'em.txt (6 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cij7Tadkjg.txt

A+

Re

Relance une analyse rapide avec MBAM et colle le rapport

Ensuite un nouveau RSIT stp...

a+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Voici le rapport d'analyse rapide de MBAM :
mbam-log-2010-04-26 (18-21-08).txt ( 2 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijmegIf4j.txt

et le dernier rapport RSIT :
log.txt (33 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijJ46EHrr.txt
(pour mémoire je joins l'ancien rapport info.txt qui n'a pas été regénéré par RSIT :
info.txt (39 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijWb4JXex.txt)

Nota :
Le boot froid du PC (réseau OFF) a été particulièrement long tout à l'heure : près de 5 mn !

A+

Bonsoir herbert56

Pour voir cela:

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Bonsoir archet9.

Afin de procéder par étapes, j'ai déconnecté le 2 eme disque dur (celui de XP Pro) pour ne conserver que celui abritant XP Home.

Les deux rapports ci-joints ne concernent donc que XP Home SP3. Voici les liens :
- info.txt (39 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cij607brfs.txt
- log.txt (34 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijyZWGpTP.txt

Merci d'y jeter un oeil.

Merci de ton aide.

Ras concernant cette partition

==> Relance RSIT sur XP pro...

a+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Pour cette étape, le 1er disque dur déjà analysé (celui de XP Home) est physiquement déconnecté, seul subsiste le 2ème HD qui boote sur XP Pro SP3.

Voici les liens des deux rapports pour XP Pro :
- info.txt (33 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cij0EnrrOT.txt
- log.txt (20 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijqnjwOCe.txt

Le système sous XP Pro est moins chargé (installation plus récente) que celui sous XP Home. Historiquement la machine neuve ne comportait qu'un seul disque dur équipé d'XP Home.

Suite de l'enquête...

A+

Bien,

RAS sur ces rapports....

Par contre si on veut "psychoter" on peut pousser les investigations,et il est clair que ns trouverons des conneries à désinstaller !

a+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Merci de ton analyse.

Devant la persistance des manifestations anormales, je serai plutôt tenté de poursuivre les recherches avant d'aboutir à une machine suspecte en permanence, puis complètement inutilisable.

S'il y a des applications à supprimer, cela va dans le sens d'un "dégraissage du mammouth" et ne peut que clarifier la situation, tout en étant conscient que certaines d'entre elles me resteront indispensables dans le cadre d'une utilisation courante. Dans ce dernier cas, peut-être qu'une ré-installation plus orthodoxe ne ferait pas de mal.

Sans trop abuser (compte tenu de l'heure tardive), quelles seraient les "conneries" à désinstaller en priorité ?

A+.

Puisque tu veux absolument continer :

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

a+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

On continue donc sur le disque XP Pro avec ComboFix.

Voici le lien du rapport pour XP Pro :
- ComboFix.txt (29 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijVZfJNzQ.txt

Le redémarrage après l'exécution de ComboFix a été particulièrement long (4 à 5 mn). Le module pare-feu de BitDefender a clignoté cinq fois avant de se stabiliser et la pile TCP/IP est montée en dernier.

Pendant l'analyse du rapport pour XP Pro, je procède à la même manipulation sur XP Home :
- déconnexion du disque dur XP Pro,
- reconnexion du disque dur XP Home,
- téléchargement de ComboFix,
- déconnexion du réseau,
- fermeture ou désactivation des applications, de l'antivirus et du pare-feu,
- exécution de ComboFix,
- récupération et post du rapport.

A+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Suite des investigations avec ComboFix sur le disque XP Home cette fois-ci.

Voici le lien du rapport pour XP Home :
- ComboFix.txt (18 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijF8oeVKr.txt

A noter : Avant de lancer ComboFix, j'ai désactivé le pare-feu Outpost Firewall jusqu'au redémarrage du système (pas d'option de réactivation manuelle à la demande). Lors du redémarrage du système par ComboFix, j'ai du valider manuellement pour le pare-feu toute une série d'autorisations pour des modules internes de ComboFix. Le travail de ComboFix peut-il être considéré comme valable dans ces conditions (interventions de l'utilisateur avant la fin de ComboFix) ?

A+

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis choisis l'option Clean

un icone blanc et noir va s'afficher sur le bureau , il te servira à rappeler le programme si besoin.

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Retour aux affaires (matinée mouvementée).

Lors de l'étape précédente, ComboFix a généré deux rapports distincts : l'un pour le disque dur contenant XP Home et l'autre pour le disque dur avec XP Pro, chaque disque étant analysé séparément.

Juste une précision avant de poursuivre le grand nettoyage de printemps...

Dois-je procéder au nettoyage par List_Kill'em sur les 2 partitions, sur la partition XP Home ou bien sur la partition XP Pro ? Autrement dit les deux systèmes sont-ils impactés ou seulement l'un d'entre eux et si oui lequel ?

A+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Résultat de List_Kill'em sur le disque dur XP Pro (voir lien ci-dessous)

Kill'em.txt ( 5 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijzHB736j.txt

Nota :
- Même si les processus BitDefender tournent (ils sont exécutés comme services), tous les modules internes sont désactivés.
- BitDefender interdit la désactivation des services dans le gestionnaire de services.
- Si leur désactivation en tant que service est obligatoire, il faut modifier les droits sur les exécutables correspondant et il resterait néanmoins un service embarqué dans svchost ( "C:\WINDOWS\system32\svchost.exe -kbdx" ).
- Une autre approche, plus radicale, consisterait à désinstaller complètement le produit.

Avant de poursuivre sur l'autre système (XP Home), il n'est peut être pas absurde de finaliser la stabilisation de XP Pro.

A+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Résultat de List_Kill'em sur XP Pro (voir lien ci-dessous)

Kill'em.txt ( 5 Ko) : http://www.cijoint.fr/cjlink.php?file=cj201004/cijzHB736j.txt

Avant de passer à l'autre disque dur (XP Home), il n'est peut-être par absurde de terminer la finalisation de XP Pro.

A+

A part cela :
"Le boot froid du PC (réseau OFF) a été particulièrement long tout à l'heure : près de 5 mn ! "

Vois tu d'autres problèmes ? Car au niveau infection tout semble clean.

Va ds C:\Program Files\trend micro\HP_Propriétaire.exe
et clic sur Propriétaire.exe

Avec hijackthis --> "do asystem scan ony"
coches les lignes suivantes:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O23 - Service: GhostStartService - Symantec Corporation - N:\Symantec\Norton Ghost 2003\GhostStartService.exe

==> Fix Checked et redémarre le PC

a+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

C'est fait pour hijackthis redémarrage chaud compris.

-1- Je ne vois rien d'autre que le redémarrage lent du PC : 5 mn contre habituellement 1 mn environ.

Pour préciser un peu les choses :
- après la saisie du login dans la fenêtre d'ouverture de la session, le fond d'écran, les icônes du bureau et la barre des tâches (hors systray) montent normalement.
- la barre système (systray) monopolise ensuite l'essentiel du temps de démarrage.
- l'antivirus monte avant la pile TCP/IP, puis le réseau et en dernier le pare-feu, les trois prenant près de 2mn30 avec un délai un peu plus marqué pour le pare-feu.
- à la fin du peuplement de la barre système, il faut encore compter entre 1 mn et 1mn30 pour obtenir l'affichage de l'explorateur Windows lancé par un clic sur son icône dans la barre de lancement rapide.

Des pistes de recherche pour ce ralentissement substantiel ?

-2- Si le nettoyage est terminé, peut-être peut-on procéder à la suppression des outils (ToolsCleaner2, CCleaner et purge des points de restauration système) ?

A+
Messages postés
26
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
12 mai 2010

Cette fois, je pense que nous avons fait le tour de la question.

En parallèle avec la désinfection des 2 XPs, j'ai fait quelques recherches sur les problèmes de propagation des virus et autres spywares par les clés USB.

Sur la base de "prévenir vaut mieux que guérir", j'ai lu avec beaucoup d'intérêt le "Guide de sécurisation Windows face aux menaces infectieuses USB"
(cf. https://forum.malekal.com/viewtopic.php?t=22177&start= Les préconisations de ce guide sont destinées à des gens qui comme moi ne maîtrisent pas totalement les pérégrinations des clés USB que leur PC est amené à accueillir ponctuellement.

Il me reste à te remercier chaudement pour ton aide et tes compétences sans lesquelles je ne m'en serai pas sorti et ce doublement... car on avait à traiter un "dual boot".

MERCI beaucoup.

Cordialement.

PS : Je marque le sujet comme résolu.