Signalement virus Fermé

Question

Je sors de deux semaines de désinfection pour un virus particulièrement résistant.

le virus est connu mais une fois supprimé en apparence il reste actif. Il s'agit du programme uninstall.exe accompagnant le petit jeu "bridge building game" que l'on peut télécharger sur le net.
c'est un trojan qui infecte à priori le thread lsass.exe (je suis sous windows XP SP2).

J'avais l'antivirus AVG : au moment de l'infection, uninstall.exe a désinstallé AVG, coupé et neutralisé le firewall windows (on ne peut plus démarrer le FW après l'infection) et réinstallé AVG. l'opération s'est déroulée en quelques minutes/secondes. Je pense que l'infection vient de uninstall.exe mais il est possible également que ce trojan n'ait ouvert qu'une défense et qu'il ait permi à un virus provenant du net de m'infecter.

l'effet sur mon PC du résident était très transparent : seules manifestations, le clic droit (dans Google par exemple) pour ouvrir une nouvelle fenêtre sur un lien donné ne dirige plus vers le lien en question mais redirige vers google.


L'installation de TCPVIEW.exe m'a montré des connexions TCP suspectes vers de très nombreux sites, dont 
unallocated70.coverhosting.ro
unallocated71.coverhosting.ro
unallocated72.coverhosting.ro
unallocated73.coverhosting.ro
unallocated74.coverhosting.ro
unallocated75.coverhosting.ro
lb140.pars.cotendo.net
lb160.pars.cotendo.net
wy-in-f99.1e100.net
wy-in-f100.1e100.net
wy-in-f101.1e100.net
wy-in-f102.1e100.net
wy-in-f103.1e100.net
wy-in-f104.1e100.net
wy-in-f105.1e100.net
wy-in-f106.1e100.net
wy-in-f107.1e100.net
bru01s01-in-f95.1e100.net
bru01s01-in-f96.1e100.net
bru01s01-in-f97.1e100.net
bru01s01-in-f98.1e100.net
bru01s01-in-f99.1e100.net
bru01s01-in-f100.1e100.net
bru01s01-in-f101.1e100.net
bru01s01-in-f102.1e100.net
bru01s01-in-f103.1e100.net
bru01s01-in-f104.1e100.net

etc...

Ces sites ne sont pas forcément réputés dangereux (il y a notamment les clusters google). La connexion sur ces sites a probablement pour but de masquer dans la masse des connexions beaucoup plus suspectes et très éphémères (qqes dizièmes de secondes) vers des sites russes ou koréens, parmi lesquels
89.208.149.204
27.255.64.111
91.212.226.180
qui sont accédés en http ET https.

Le process qui ouvrait des connexions TCP était svchost.exe, et [system idle] (ID 0). Je pense que le thread défectueux était lsass.exe parcequ'il avait perdu sa signature microsoft après l'infection. peut-être également csrss.exe, même symptôme.
J'ai essayé différents antivirus qui signalaient ou non une infection mais sans la nettoyer réellement.

J'ai essayé le cd bootable bitdefender en dernière version, mais il n'a rien trouvé. L'outil de suppression de malwares de microsoft signale un malware sans pouvoir le nettoyer. la restauration du système ne fonctionne plus et ne donne pas d'explication (y compris en mode sans échec). les outils malwarebyte, etc, ne fonctionnent pas, pas plus que RogueKiller. 
J'ai installé COMODO anivirus qui a détecté le trojan et associé le trojan à uninstall.exe mais n'a pas supprimé l'infection.

nettoyage :
-------------
j'ai relancé la restauration de windows depuis le CD bootable XP SP2 (equivalent en plus fiable de sfc /scannow).

CEtte restauration a supprimé les connexions fantômes. Quelques minutes après le redémarrage de windows, une menace a été détecté par COMODO (avec tentative très éphémère de connexion sur un site, visible sous tcpview.exe) : comodo a bloqué la menace, il s'agit d'une copie de uninstal.exe qui se trouvait encore sous \system volume information.
je suis maintenant désinfecté.

Excessimo · Answer

===============TDSSKiller====================

[X] Télécharge TDSSKiller sur ton bureau

https://support.kaspersky.com/downloads/utils/tdsskiller.zip

[X] Créer un nouveau dossier sur ton bureau puis décompresse l'archive dedans.

[X] Lance le programme en cliquant sur TDSSKiller.exe, laisse les 2 cases cochées et clique sur "start scan", attends la fin du scan, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

[X] Vérifier que l'option "Cure" est sélectionnée pour les infections (malicious). 

[X] Sélectionner "Skip" pour les fichiers suspects (suspicious).

[X] Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

[X] Le rapport tdss se trouve ici : C:\ ; Postes le dans ta prochaine réponse

[X] Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350


Fais analyser uninstall.exe sur VirusTotal et postes moi le lien.


===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/ 

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

g3n-h@ckm@n · Answer

salut excess laisse tomber il est cracké le XP

g3n-h@ckm@n · Answer

bonjour inscris-toi sur commentcamarche et tu pourras y repondre

g3n-h@ckm@n · Answer

salut

ingénieur en informatique ?

et tu tournes en SP2 ? tu nous prends vraiment pour des bleus !

Signalement virus

4 réponses

Discussions similaires