smb.sys infecté Fermé

Question

Bonjour, 

J'ai fait un scan sur l'ordi de mon père avec l'anti-virus AVG.
Il a trouvé des chevaux de troie dans un fichier qui se nomme smb.sys ("";"C:\Windows\System32\drivers\smb.sys";"Cheval de Troie : Rootkit-Pakes.BW";"Cet objet figure sur la liste blanche (fichier système ou indispensable à ne supprimer en aucun cas)" et "";"C:\Windows\winsxs\x86_microsoft-windows-nbsmb_31bf3856ad364e35_6.0.6002.18005_none_61560a3ff5180c84\smb.sys";"Cheval de Troie : Rootkit-Pakes.BW";"Déplacé en Quarantaine")

Je ne sais pas à quoi servent ces fichiers et préfère donc éviter de les supprimer, vu qu'il font partie du système. Quelqu'un pourrait-il m'éclairer avant de prendre un décision ?

Merci d'avance


Configuration: Windows Vista / Firefox 12.0

kalimusic · Answer

Bonsoir,

Analyse le fichier sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

A +

horeille · Answer

Merci beaucoup du lien. 

Voici l'analyse : https://www.virustotal.com/file/ce949536d8b3dc978abaf513c16c9d863755fca06a4619f8dab40fe2ffcb10e9/analysis/1339698338/ 

Merci.

kalimusic · Answer

re,

Mauvaise nouvelle AVG a raison, cette infection est parfois coriace.

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour TDSS.tdl2 : l'option Delete sera cochée.
&#9656; Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
&#9656; Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

horeille · Answer

Merci de votre astuce

Voici le lien du rapport : http://cjoint.com/?0Fou54ce0Rs

Merci

kalimusic · Answer

re,

TDDSKiller a bien bossé on dirait.

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

Avis aux utilisateurs de l'antivirus Avast! , ne pas éxecuter OTL dans la sandbox.

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
smb.sys
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

horeille · Answer

Re, 

En voyant le précédent rapport, je m'étais dit aussi que TDDSKiller avait bien bossé, mais j'en étais pas sûre...

Voici donc les deux derniers rapports :
http://cjoint.com/?0Fov3LN0LXG
http://cjoint.com/?0Fov4cnN82R

Encore merci de votre aide et de vos explications détaillées.

kalimusic · Answer

ok,

Il y a deux antivirus actifs sur le système : Avast! & AVG, il faut en désinstaller 1 

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

horeille · Answer

Bonjour,

Merci encore de vos conseils.

Il y a effectivement deux anti-virus mais seul un fonctionne (idée lumineuse de mon frère...). Seulement il y a un message d'erreur qui s'affiche lorsque je veux désinstaller Avast. Est-ce que supprimer les fichiers Avast dans le dossier Programmes suffirait (en imaginant qu'ils veuillent bien se laisser effacer gentillement) ?

Merci d'avance.

kalimusic · Answer

Bonjour,

https://www.avast.com/fr-fr/uninstall-utility

A +

Smb.sys infecté

9 réponses

Discussions similaires