Smb.sys infecté

horeille -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

J'ai fait un scan sur l'ordi de mon père avec l'anti-virus AVG.
Il a trouvé des chevaux de troie dans un fichier qui se nomme smb.sys ("";"C:\Windows\System32\drivers\smb.sys";"Cheval de Troie : Rootkit-Pakes.BW";"Cet objet figure sur la liste blanche (fichier système ou indispensable à ne supprimer en aucun cas)" et "";"C:\Windows\winsxs\x86_microsoft-windows-nbsmb_31bf3856ad364e35_6.0.6002.18005_none_61560a3ff5180c84\smb.sys";"Cheval de Troie : Rootkit-Pakes.BW";"Déplacé en Quarantaine")

Je ne sais pas à quoi servent ces fichiers et préfère donc éviter de les supprimer, vu qu'il font partie du système. Quelqu'un pourrait-il m'éclairer avant de prendre un décision ?

Merci d'avance

9 réponses

  1. horeille
     
    Merci beaucoup du lien.

    Voici l'analyse : https://www.virustotal.com/file/ce949536d8b3dc978abaf513c16c9d863755fca06a4619f8dab40fe2ffcb10e9/analysis/1339698338/

    Merci.
    0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Mauvaise nouvelle AVG a raison, cette infection est parfois coriace.

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    Conserve l'action proposée par défaut par l'outil
    ▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
    ▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
    ▸ Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
    ▸ Pour "Suspicious object" laisse sur "Skip"
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  3. horeille
     
    Merci de votre astuce

    Voici le lien du rapport : http://cjoint.com/?0Fou54ce0Rs

    Merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    TDDSKiller a bien bossé on dirait.

    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    Avis aux utilisateurs de l'antivirus Avast! , ne pas éxecuter OTL dans la sandbox.

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    smb.sys
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +

    0
  6. horeille
     
    Re,

    En voyant le précédent rapport, je m'étais dit aussi que TDDSKiller avait bien bossé, mais j'en étais pas sûre...

    Voici donc les deux derniers rapports :
    http://cjoint.com/?0Fov3LN0LXG
    http://cjoint.com/?0Fov4cnN82R

    Encore merci de votre aide et de vos explications détaillées.
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Il y a deux antivirus actifs sur le système : Avast! & AVG, il faut en désinstaller 1

    Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

    Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.

    !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
    (risque de plantage complet de l'ordinateur)

    ● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
    ● Héberge le rapport et donne moi le lien.

    !! Réactive les protections résidentes de ton PC !!

    Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    A +
    0
  8. horeille
     
    Bonjour,

    Merci encore de vos conseils.

    Il y a effectivement deux anti-virus mais seul un fonctionne (idée lumineuse de mon frère...). Seulement il y a un message d'erreur qui s'affiche lorsque je veux désinstaller Avast. Est-ce que supprimer les fichiers Avast dans le dossier Programmes suffirait (en imaginant qu'ils veuillent bien se laisser effacer gentillement) ?

    Merci d'avance.
    0