Infection SVCHOST.EXE

Bonjour g3n-h@ckm@n,

Bon, la nuit a dû être bénéfique. Le clavier étant enfin actif (?), j'ai pu ouvrir une session Administrateur en mode sans echec et lancer Sality

Voila donc Sality qui travaille.
Mais, depuis bien 1 heure maintenant, il est figé sur la ligne "/C:\Windows\write.exe". De plus, aucun rapport affiché sur le bureau.

Problème ?

Sality s'est enfin arrêté (tout seul).

Je n'ai pas trouvé de rapport nommé SalityKiller.txt
Par contre, un petit fichier texte a été généré : log
Voici le contenu ci-dessous :

------------------------------------------------------------------------------------------------------------------------------------
13:02:49:273 0856 scanning threads ...
13:02:49:429 0856
13:02:49:429 0856 scanning processes ...
13:02:49:429 0856
13:02:49:429 0856 Restoring show hidden and system files
13:02:49:429 0300
Monitoring thread started
13:02:49:429 0856
13:02:49:429 0856 restoring SafeBoot registry node
13:02:49:429 0856
13:02:49:429 0856 fixing registry ...
13:02:49:429 0856 SalityRegCure: Restoring general registry keys
13:02:49:429 0856 SalityRegCure: Fixing system.ini
13:02:49:429 0856
13:02:49:445 0856 scanning drives ...
13:02:49:445 0856 scanning C:\ ...
13:50:11:240 0856
13:50:11:240 0300
Monitoring thread stopped
13:50:11:240 0856
completed
13:50:11:240 0856 Infected files: 0
13:50:11:240 0856 Infected processes: 0
13:50:11:240 0856 Infected threads: 0
13:50:11:255 0856 Cured files: 0
13:50:11:255 0856 Will be cured on reboot: 0
13:50:11:255 0856 Executed registry scripts: 1

Pas de nouvelles :
Bonne nouvelle ou mauvaise nouvelle ?

Salut g3n-h@ckm@n

Ben malheureusement, pas grand chose de nouveau. Comme tu peux le lire ci-dessus, Sality n'a pas générer le rapport que tu attends. Juste ce LOG dont j'ignore s'il pourra t'être utile.

Tu n'aurais pas une autre conbine dans la manche ?

Bonsoir Saachaa

Peux-tu développer un peu STP ?

Bonsoir,

Je parle à Gen-Hackman ;-)

Au temps pour moi.

Il me semblait bien que ce n'était pas moi le génie ;-)

OK, c'est parti

:)

Pas à jour ton canned :)

il passe

Et bien !! ça dépanne dur ici :)

J'ai suivi tes instructions, mais malheureusement, le scan reste déseperement bloqué à la ligne
"destination : C:\32788R22FWJFW"

Il doit y avoir qqchose qui bloque le processus ?

Le PC infecté étant inopérant, il n'est plus raccordé sur le web. Du coup, pour plus de sureté, j'ai carrément désinstallé Avast et Malwarebytes (enfin, je l'espère, car c'est pas facile d'utiliser la machine telle qu'elle fonctionne actuellement).

Le disque C est un SSD, si toutefois cette info t'est utile ?

Bonjour g3n-h@ckm@n et Saachaa

Bon, ben je suis toujours coincé moi :-(

Avez-vous une autre idée pour me sortir de cette ornière ou mon cas est-il incurable ?

Comptant sur votre aide ...

hello vas-y :)

Bonjour Saachaa et merci de ton aide,

J'ai scrupuleusement suivi les indications :
- Avast supprimé du PC.
- Malwarebytes supprimé du PC.
- Le pare-feu n'apparait plus dans le panneau de configuration (?). Néanmoins, dans le gestionnaire des taches, dans l'onglet "Services", le statut de la ligne "MpsSvc" est "Arret". J'en ai donc déduis que l'infection bloque d'elle-même cette fonction (?).

J'ai donc lancé Combofix. Il tourne maintenant depuis 1 heure. Malheureusement, le scan reste bloqué sur "Destination : C:\32788R22FWJFW" comme lors de mon dernier essai (voir post du 12/10 - 16h41).

Précisions :
- Combofix lancé sous la session infectée (session administrateur)
- Combofix n'a pas demandé l'installation de la console de récupération.
- Les fenêtres DOS telles que décrites sur le didactique ne sont jamais apparues.
- Evidement, pas de rapport généré.

Certes, vous n'avez pas demandé de supprimer Avast et Malwarebytes. Cependant, étant donné qu'il est très difficile de travailler sur le PC infecté et vu qu'il n'est plus raccordé au réseau, il a été plus simple pour moi de supprimer ces applications plutot que de les désactiver. Je pourrais toujours réinstaller tout cela après réparation.

Concerant Combofix, je l'ai bien lancé en mode sans echec ...

Hélas non, pas la moindre trace d'un rapport sur C :-(

C'est bizarre. Je suis presque sûr que ce dossier n'existait pas avant l'apparition des problèmes. Ce fameux dossier "32788R22FWJFW" est sur C, son icone est un moniteur (comme l'icone "Ordinateur"). Lorque je clique dessus, il affiche les diques (voir photos jointes). On s'aperçoit d'ailleurs que le disque D n'est toujours pas reconnu.

http://imgbox.com/gallery/edit/amj3HYpXtR/z6B34RNmaUBhkOkh

Nouvelle info :
Pendant que je tapais ces lignes, j'ai supprimé ce dossier "32788R22FWJFW" et j'ai relancé Combofix.
Il s'avère que c'est Combofix qui crée le repertoire "32788R22FWJFW" car il est réapparu!

Me voilà perplexe !

Quelle solution me reste-t-il ? Sachant qu'il est important pour moi de récupérer les infos du disque D.
- Formater C ?
- Réinstaller Windows ? Là, je suis mal car je n'ai pas les disques !
- Tenter d'utiliser UBCD ? Là aussi, je suis mal car j'ai acheté le PC avec Windows installé. Je n'ai donc pas de disque pour récupérer "i386"

C'est la galère !

Pour répondre à Saachaa : oui, Combofix a bien été lancé sous une session Administrateur.
Pour répondre à g3n-h@ckm@n : aucune présence d'un fichier TXT sous C. D'autre part, le répertoire Qoobox n'existe pas sous C (voir photo du post précédent)

donc combofix n'a pas travaillé

On dirait bien Malheureusement !

Je viens de penser à qqchose. Je crois qu'il y à une histroire de "super Administrateur" sous 7. Je vérifie si j'ai bien fait cette manip. Si ce n'était pas le cas, je relance Combofix après l'avoir fait.

Aie, aie, aie !

Je vous prie de bien vouloir excuser ma bétise ! Eh non, Combifix n'avait pas été lancé sous une session administrateur. Resté sur mes bases XP, j'avais omis cette histoire de "super administrateur" sous 7.

Toutes mes excuses encore pour cette perte de temps !

Rapport Combofix ci-dessous
--------------------------------------------------------------------------------------------------------------------------------

ComboFix 12-10-16.02 - Administrateur 17/10/2012 23:29:02.2.4 - x64 NETWORK
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.8175.7443 [GMT 2:00]
Lancé depuis: c:\temp - dépannage\ComboFix_2.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_nvsvc
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-09-17 au 2012-10-17 ))))))))))))))))))))))))))))))))))))
.
.
2012-10-17 21:57 . 2012-10-17 21:57 -------- d-----w- c:\users\Visiteur\AppData\Local\temp
2012-10-17 21:57 . 2012-10-17 21:57 -------- d-----w- c:\users\User\AppData\Local\temp
2012-10-17 21:57 . 2012-10-17 21:57 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2012-10-17 21:57 . 2012-10-17 21:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-10-17 15:21 . 2012-10-17 22:46 -------- d-----w- c:\users\Administrateur
2012-10-15 11:25 . 2012-10-15 11:25 -------- d-----w- c:\users\User\AppData\Roaming\PC Accelerateur
2012-10-15 11:18 . 2012-10-15 11:18 -------- d-----w- c:\users\User\AppData\Roaming\Advanced System Protector
2012-10-15 11:18 . 2012-10-15 11:18 -------- d-----w- c:\users\User\AppData\Roaming\Systweak
2012-10-15 11:18 . 2012-09-21 10:05 17080 ----a-w- c:\windows\system32\roboot64.exe
2012-10-15 11:18 . 2012-10-15 12:42 -------- d-----w- c:\program files (x86)\RegClean Pro
2012-10-15 08:40 . 2012-10-15 08:40 -------- d-----w- c:\program files (x86)\PC Accelerateur
2012-10-15 08:39 . 2012-10-15 08:39 -------- d-sh--w- c:\programdata\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2012-10-15 08:39 . 2012-10-15 08:39 -------- d--h--w- c:\programdata\Common Files
2012-10-15 07:48 . 2012-10-11 17:17 460888 ----a-w- c:\windows\system32\drivers\68814771.sys
2012-10-11 17:58 . 2012-10-11 17:17 460888 ----a-w- c:\windows\system32\drivers\85055697.sys
2012-10-09 23:41 . 2012-10-11 16:47 -------- d-----w- C:\Pre_Scan
2012-10-03 18:35 . 2012-10-03 18:35 -------- d-----w- c:\program files (x86)\LinuxLive USB Creator
2012-10-02 18:13 . 2012-10-02 18:13 151552 ----a-w- c:\windows\KMSEmulator.exe
2012-10-02 00:14 . 2012-10-17 01:04 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BD81ADCC-D722-4D15-AA8E-6EC7F9992DAA}\offreg.dll
2012-10-01 19:29 . 2012-10-01 20:09 -------- d-----w- C:\UsbFix
2012-09-27 05:33 . 2012-10-17 15:22 -------- d-----w- C:\temp - dépannage
2012-09-25 20:37 . 2012-08-30 07:27 9308616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BD81ADCC-D722-4D15-AA8E-6EC7F9992DAA}\mpengine.dll
2012-09-25 20:11 . 2012-08-21 21:01 245760 ----a-w- c:\windows\system32\OxpsConverter.exe
2012-09-23 08:42 . 2005-04-03 21:02 69714 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2012-09-23 08:42 . 2005-04-03 21:01 274432 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2012-09-23 08:42 . 2005-04-03 21:00 184320 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2012-09-23 08:42 . 2005-04-03 21:00 63488 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ISBEW64.exe
2012-09-23 08:42 . 2005-04-03 20:59 5632 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2012-09-23 08:42 . 2012-09-23 08:42 331908 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2012-09-23 08:42 . 2012-09-23 08:42 200836 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2012-09-23 08:42 . 2005-04-03 21:02 753664 ----a-w- c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2012-09-23 08:40 . 2012-10-08 08:03 -------- d-----w- c:\program files (x86)\SmartBackup
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-14 01:12 . 2012-02-10 10:45 64462936 ----a-w- c:\windows\system32\MRT.exe
2012-08-22 18:12 . 2012-09-13 20:05 1913200 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-08-22 18:12 . 2012-09-13 20:05 950128 ----a-w- c:\windows\system32\drivers\ndis.sys
2012-08-22 18:12 . 2012-09-13 20:05 376688 ----a-w- c:\windows\system32\drivers\netio.sys
2012-08-22 18:12 . 2012-09-13 20:05 288624 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2012-08-21 09:12 . 2012-02-10 10:47 285328 ----a-w- c:\windows\system32\aswBoot.exe
2012-08-02 17:58 . 2012-09-13 20:05 574464 ----a-w- c:\windows\system32\d3d10level9.dll
2012-08-02 16:57 . 2012-09-13 20:05 490496 ----a-w- c:\windows\SysWow64\d3d10level9.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnablELUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer4"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-disabled]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
.
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
R4 AutoKMS;AutoKMS;c:\windows\AutoKMS\AutoKMS.exe [x]
R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R4 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R4 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-19 113120]
R4 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
R4 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R4 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R4 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
R4 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2012-02-10 1255736]
S1 A2DDA;A2 Direct Disk Access Support Driver;c:\temp - dépannage\EmsisoftEmergencyKit\Run\a2ddax64.sys [2012-10-15 23208]
S3 MEIx64;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\HECIx64.sys [2010-10-19 56344]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-11-19 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-11-19 181248]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2011-07-07 174184]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-12-24 412264]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - A2DDA
.
Contenu du dossier 'Tâches planifiées'
.
2012-10-17 c:\windows\Tasks\GlaryInitialize.job
- c:\program files (x86)\Glary Utilities\initialize.exe [2012-02-10 18:33]
.
.
--------- X64 Entries -----------
.
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath -
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_278_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_278_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-10-18 00:59:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-10-17 22:59
.
Avant-CF: 73 679 253 504 octets libres
Après-CF: 73 672 581 120 octets libres
.
- - End Of File - - 4DDD7097EE0DBB9A11D0884CE66CBC91

pas bien de cr*cker microsoft !!!

OK g3n-h@ckm@n,

Je te remercie pour le tuto killdisk et je vais donc m'y atteler. Cependant, formater C ne me dérange pas, mais j'aurais souhaité sauvegarder au moins une partie de D.

D'où ma question : est-il absolument necessaire de formater D ? Si oui, as-tu une astuce pour récupérer les infos, sachant que ce dique est très certainement infecté et actuellement inaccessible ?

avec un live cd tu dois pouvoir je pense

Bonjour g3n-h@ckm@n,

Suivant les indications du tuto, j'ai crée un CD ISO de Killdisk. J'ai booté le PC sur ce CD.
Le PC reste bloqué sur la ligne "FreeDOS12"

Aurais-je fais une mauvaise manip ?

il est neuf le cd ?

Réctification : après avoir redémarré le PC, il s'avère que le CD Killdisk fonctionne correctement.

Cependant, dans le but de récupérer les données sur D, j'ai crée un CD live de W7 comme tu me l'as conseillé. Le CD ainsi crée se nomme "win7pe_amd64".

Le PC lancé sur ce CD live fonctionne un instant, puis une fenetre DOS apparait très brievement, ensuite, le PC reste planté sur l'écran d'accueil de W7, sans icone. J'ai essayé "ALT+CTRL+SUP", mais il n'y aucune réaction.

Une idée ?