Virus Farceur ? BKDR_TDSS.SMZ Fermé

Question

Bonjour, 

Infecté par un virus , je me retrouve  avec un pc qui demarre mais ou le contenu de programe file et mes documents est VIDE !! 
J'ai un message d'erreur comme quoi mon disque  dur] a perdu 30% de stockage et qu'il est endomagé.

Mais lorsque que je redemarre le pc avec un cd de  tous les programes sont là et tous mes documents aussi sont presents sur le disque et il ne manque pas 30% de stockage.

Je vous fais parvenir 2 rapports le premier est le rapport de mon antivirus et le deuxieme de 



Ci joint le rapport de mon anti virus




Damage Cleanup Engine (DCE)  6.3(Build 1015) (RCM: 2.90.0-1131)


Windows XP(Build 2600: Service Pack 3)




Start time : Sa Apr 16 2011 09:16:13




Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\TMRDCT.ptn" (version ) [fail]


Load Damage Cleanup Template (DCT) "C:\Program Files\Trend Micro\OfficeScan Client\tsc.ptn" (version 1114) [success]


Normal File Check for Detected File "C:	emp\smwcoxnare.tmp" (Virus Name BKDR_TDSS.SMZ): Normal file check result 0x00031B00.


TSC_GENCLEAN[virus found]


-->reboot delete registry value("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Policies\System","DisableTaskMgr") success


-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","SCRNSAVE.EXE") success


-->reboot modify registry data("HKEY_CURRENT_USER","Control Panel\Desktop","WallPaper") success


-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","WallPaper") success


-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Desktop\General","BackupWallpaper") success


-->reboot modify registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Internet Explorer\Main","Start page") success


-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Internet Explorer\Main","Start page") success


-->reboot modify registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","AUOptions") success


-->reboot modify registry data("HKEY_CURRENT_USER","Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt") success


-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\Messenger","Start") success


-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\TlntSvr","Start") success


-->reboot modify registry data("HKEY_LOCAL_MACHINE","SYSTEM\CurrentControlSet\Services\wscsvc","Start") success


GenericClean::Pattern:TSC_GENCLEAN,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:	emp\smwcoxnare.tmp 


GenericClean::Pattern:WORM_DOWNAD,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:	emp\smwcoxnare.tmp 


GenericClean::Pattern:PE_PATCHEP.A,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:	emp\smwcoxnare.tmp 


GenericClean::Pattern:BKDR_TIDIES,Virus Name:BKDR_TDSS.SMZ,Virus File Path:C:	emp\smwcoxnare.tmp 





Complete time : Sa Apr 16 2011 09:17:21


Execute pattern count(4), Virus found count(1), Virus clean count(1), Clean failed count(0)

ci joint le rapport de hijack



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:00:07, on 22.04.2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Apoint\ApMsgFwd.exe

C:\WINDOWS\system32\Empirum\EmpirumRemoteSettings.exe

C:\Program Files\Apoint\HidFind.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\system32\Empirum\SWDepot.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe

C:\WINDOWS\Ttolec.exe

C:\WINDOWS\system32\attrib.exe

C:\Documents and Settings\All Users\Application Data\18407220.exe

C:\Documents and Settings\ivanov\Desktop\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.mss.magna-europa.eu-ias.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.186.178:3128

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START

O4 - HKLM\..\Run: [RunSWDepot1] SWDEPOT /WU /S /T /Q

O4 - HKLM\..\Run: [RunSWDepot2] SWDEPOT \%EmpirumServer%\Configurator$\User\SwDepot.dds /I\%EmpirumServer%\Values$\MachineValues\%DomainName%\%Computername%.ddc /I\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /S /K30 /E /F /Z2

O4 - HKLM\..\Run: [IBM Lotus Notes Preloader] "C:\Program Files\Lotus\Notes
ntspreld.exe"

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t

O4 - HKLM\..\RunOnce: [DCERegBootClean] C:\WINDOWS\RegBootClean.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TBXQRHV4KR] C:\WINDOWS\Ttolec.exe

O4 - HKCU\..\Run: [XjFfFSETuJNIM] C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: START_PAGE_URL=http://intranet.mss.magna-europa.eu-ias.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com

O17 - HKLM\Software\..\Telephony: DomainName = seating-go.eu-ias.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seating-go.eu-ias.com

O23 - Service: Empirum Remote Control Service (EmpirumRC_Service) - matrix42 AG - C:\WINDOWS\system32\Empirum\EmpirumRCHost.exe

O23 - Service: Lotus Notes Diagnostics - IBM - C:\Program Files\Lotus\Notes
sd.exe

O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\Lotus\Notes
tmulti.exe

O23 - Service: Aventail VPN Client (NgVpnMgr) - Aventail Corporation - C:\WINDOWS\system32
gvpnmgr.exe

O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

O23 - Service: Empirum-Agent (SetupService) - Matrix42 AG - C:\WINDOWS\system32\EMPIRUM\SetupSvc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe

O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe

O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe

O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Effectivement, ton ordinateur est très infecté. Commence par utiliser cet outil de désinfection spécifique au rootkit TDSS (détecté par ton antivirus) :

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt



Ensuite, même si les symptômes disparaissent, utilise ce logiciel de diagnostic (il est plus complet que Hijackthis) :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum

mykae12 · Answer

Merci anthony5151 

Malheureusement lorsque je lance TDSSKiller  j'ai un message d'erreur " can not read drive " 

et l'autre  ZHPDiag  pas les droit administrateur... pc de boulot
et pour l'histoire je viens de le récuperer de la maintenance ;qui m'a passé un savon à cause de mon utilisation éfrénée sur le net (de chez moi ) mais c'est juste en voulant downloader un episode de ma serie préférée : ploum pendant le telechargement...

je pense que je suis dans la merde...  

c'est ma faute d'habitude je fais tout mes downloads via Linux...et la seule fois que je le fais de windows ça chie

anthony5151 · Answer

La maintenance a désinfecté l'ordi ?
Sinon effectivement, ça va être plus difficile de t'aider sans les droits d'administrateur, mais pas forcément impossible.

L'infection d'un ordi sous Windows n'est pas une fatalité, il faut juste savoir quoi faire pour le sécuriser ;)

mykae12 · Answer

Ok chuis prêt 

si tu as la possibilité de faire quelque chose sans les droits d'admin je prends,

De mon coté je vais tenté un forcing pour avoir le mots de passe admin

anthony5151 · Answer

On va utiliser un LiveCD : suis ce tutoriel illustré pour faire un diagnostic avec OTLPE. Poste le rapport quand tu auras terminé, je te donnerais des conseils à partir de ce rapport ;)

mykae12 · Answer

hello Anthony5151 ,  
Aprés un weekend de pâques arrosé je reviens vers toi.  

J'ai demarrer donc avec le live Cd ,et suivis les consignes du tuto , en voici le resultat:  

Rapport de OTLPE : 

http://www.cijoint.fr/cjlink.php?file=cj201104/cij62ZT83B.txt


Attends instructions...

anthony5151 · Answer

* Démarre sur le CD de OTLPE de la même façon.
* Une fois sur le Bureau, lance OTL
* Copie/colle ce script en entier dans la zone "custom scans"
* Clique sur « Run Fix » et laisse l'outil travailler.
* Copie/colle la totalité du rapport dans ta prochaine réponse. 

Je vois aussi sur ce rapport que tu as téléchargé Combofix (évite de le faire depuis Softonic, ce n'est pas le site officiel de l'outil, il ne propose pas forcément la version la plus récente). Le vrai lien de téléchargement est ici. Si tu l'as utilisé, poste le rapport stp

mykae12 · Answer

Salut voici le rapport :  
pour combofix je m'en occuppe et je poste. 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijfwgOvQW.txt

mykae12 · Answer

J'ai tenté de lancer Combofix sur le live Cd de reatogo. Il ne se lance pas, j'ai droit à un message d'erreur : 

" Errors encountered while performing the operation look at the information window for more details" 

j'attends tes consignes avant de redémarer sur le Xp du disque dur pour lancer combofix

anthony5151 · Answer

Parfait pour le rapport du script OTL :)
N'oublie pas de poster un nouveau rapport de diagnostic de OTL (depuis OTLPE), comme ici.

Pour Combofix, c'est normal, il doit être lancé sur le système et non depuis OTLPE.
Les consignes pour l'utiliser sont indiquées dans le tutoriel (notamment l'importance de désactiver tous les logiciels de protection). Il va également te demander d'installer la console de récupération : tu dois absolument accepter.

mykae12 · Answer

Pour l'instant voici le rapport OTL  comme dans le tuto illustré ( scan + le script donné dans le tuto )

 http://www.cijoint.fr/cjlink.php?file=cj201104/cijciv4yqt.txt

je tentes de lancer l'installation de combofix sur le système

anthony5151 · Answer

Ok, c'est bon pour OTL :)
Tiens moi au courant pour Combofix.

mykae12 · Answer

arrh ! je ne peux lancer pas Combofix , toujours le meme message d'erreur...
Je n'arrive pas à descativer le logiciel de protection(OFFICE SCAN de Trendmicro) il me demande un mot de passe...

anthony5151 · Answer

Ok, laisse tomber Combofix. On a désinfecté tout ce qui était visible depuis OTLPE, le rapport ne montre plus d'infection.

Est-ce que l'antivirus détecte toujours des choses ? Si tu le souhaites, tu peux encore faire deux autres scans de vérification :

1) MalwareBytes :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments  détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


2) Une analyse antivirus avec un LiveCD : https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm

mykae12 · Answer

pour Malwarebyte's Anti-Malware c'est mort... Pas de droit admin..

L'anti virus officeScan de mon pc est en train de scaner le systeme 

ensuite je relancerais le live cd pour l'analyse antivirus.

En fait depuis le fix de OTL  , le systeme n'affiche plus de message comme quoi le disque dur est endommagé. 
Par contre tous les fichers dans mes documents et programes file sont en lecture cachée et read only. J'ai pris l'initiative des les changer pour les rendre visibles et enlever le read only (pour programmes files). 
Le truc bizzare est que je n'ai plus les raccourcis dans le menu démarrer , je pense que je dois les remettre manuellement?

Le scan de antivirus du systeme vient de se terminer "Pas de virus détecté" Cool

Je lance le live Cd 

la suite au prochain épisode

mykae12 · Answer

Bon j'ai fais le scan de Dr WEB ,  4h de scan... ça rigole pas ! 

alors je n'ai pas pu voir assez longuement le rapport mais il y avait une vintaine de fichiers infectés... 

Est- ce que Dr WEB a t-il désincfecté les fichiers ou dois-je faire encore quelchose?

en tout cas merci Anthony, tu m'as évité un aller retour en allemagne pour prendre une soufflante. 

attend instruction ;-)

anthony5151 · Answer

Je suis vraiment désolé pour le délai de réponse.

Sans un rapport de DrWeb, je vais avoir du mal à te répondre ;) Si tu veux assurer le coup, n'hésite pas à faire aussi le scan du LiveCD Avira. Mais pour moi ton ordinateur est sain.

Je vais maintenant te donner des conseils pour terminer le nettoyage et sécuriser ton ordinateur. J'espère que tu pourras les appliquer sans les droits d'admin (ou qu'on te les accordera pour ces manipulations là). Comme je ne dispose pas des rapports habituels (ZHPDiag), je vais devoir procéder en plusieurs fois. Voici la première partie :


* Il faut mettre à jour tous tes programmes pour combler des failles de sécurité. Pour identifier les principaux programmes qui ont besoin d'être mis à jour, tu peux utiliser RIC-Run (de Ric025). Lance le --> Clique sur "Mises à jour" --> "Rapport des versions actuelles" --> Clique sur OK et poste le rapport qui va apparaitre

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser le navigateur Firefox avec les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes : 
- WOT 
- AdBlock 

* S'il n'y a que Internet Explorer et qu'il t'est impossible d'installer un autre navigateur, WOT est aussi disponible pour ce navigateur (ici), mais il n'existe pas d'équivalent à AdBlockPlus à ma connaissance.

Virus Farceur ? BKDR_TDSS.SMZ

17 réponses

Discussions similaires