Infection explorer.EXE - Rootkit.Boot.Cidox.b [Résolu/Fermé]

Signaler
-
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
8 mars 2021
-
Bonjour,
Après avoir tenté beaucoup de choses, je m'en remet à vous pour un petit coup de pouce !
J'ai ces 3 infections sur mon PC qui me poses pas mal de problèmes et dont j'arrive pas à me défaire :
c:\Windows\system32\services.exe
c:\Windows\system32\lsass.exe
c:\Windows\explorer.EXE

Ces processus sont repérés par RogueKiller, qui n'arrive pas à me les supprimer. J'ai également essayer la suppression par un antivirus bootable (Avira) qui ne me les repères pas du tout.

Merci de votre aide.


Rémi

#Windows 7 Professionnel

10 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 499
Salut,

Ce n'est pas parce que RogueKiller mets des lignes, qu'elles sont malicieuses.
Ces fichiers sont légitimes.

Tu peux donner le rapport RogueKiller mais tu n'es surement pas infecté.
Merci de ta réponse et désolé du retard, je n'avais pas vu que tu avais répondu.

Voici le rapport du scan RogueKiller que je viens de refaire :


Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal

Mode : Scan -- Date : 01/22/2015 14:08:47

¤¤¤ Processus : 4 ¤¤¤
[Tr.Gootkit] services.exe(696) -- C:\Windows\system32\services.exe[x] -> [NoKill]
[Tr.Gootkit] lsass.exe(720) -- C:\Windows\system32\lsass.exe[x] -> [NoKill]
[Tr.Gootkit] explorer.exe(3056) -- C:\Windows\Explorer.EXE[7] -> Tué(e) [TermProc]
[Tr.Gootkit?Proc.Injected] firefox.exe(2860) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 13 ¤¤¤
[PUM.HomePage] (X64) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 5 (Driver: Chargé) ¤¤¤
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x6fff0158 (jmp 0xfffffffff8ed33a8)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - NtDeviceIoControlFile : Unknown @ 0x326fa65 (jmp 0xffffffff8bf601a6|jmp 0x39|call 0xffffffffffffff3e)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x32239ba (jmp 0xffffffff8bef3837|jmp 0xf)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x3e439ba (jmp 0xffffffff8cb13837|jmp 0xf)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x6ab39ba (jmp 0xffffffff8f783837|jmp 0xf)

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKX-08ERM SCSI Disk Device +++++
--- User ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User != LL1 ... KO!
--- LL1 ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User != LL2 ... KO!
--- LL2 ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]


============================================
RKreport_DEL_01062015_094833.log - RKreport_DEL_01062015_094842.log - RKreport_DEL_01062015_094851.log - RKreport_DEL_01062015_094915.log
RKreport_DEL_01202015_103530.log - RKreport_DEL_01202015_110840.log - RKreport_DEL_01202015_111029.log - RKreport_SCN_01062015_094800.log
RKreport_SCN_01202015_103353.log - RKreport_SCN_01202015_110702.log - RKreport_SCN_01202015_111003.log - RKreport_SCN_01202015_111705.log
RKreport_SCN_01202015_133641.log - RKreport_SCN_01202015_161356.log
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 499
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

puis :


Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.

Voici le premier rapport avec TDSSKiller :

http://pjjoint.malekal.com/files.php?read=20150122_z8h6x5t7w11

Je vais essayé de voir pour le deuxième, mais ça ne me le propose pas a la fin ! ;)
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 499
Effectivement, c'est mal :

16:41:50.0523 0x0d40 [ E731AA4BA3C10C5620819ED3EFE209FC ] \Device\Harddisk0\DR0\Partition1
16:41:50.0523 0x0d40 \Device\Harddisk0\DR0\Partition1 - detected Rootkit.Boot.Cidox.b ( 0
16:41:50.0523 0x0d40 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - infected )


Il faudrait relancer TDSSKiller et faire Cure dessus.
Je l'ai fait et rescanné après, il ne trouve plus rien ! ;)
Par contre j'ai essayé NOD32 avec plusieurs navigateur, rien a faire il me montre rien a la fin. Il me propose juste de l'acheter ou de de l'essayer gratuitement, mais pour l'essai gratuit ça ne va pas plus loin.

Merci de ton aide,
Rémi
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 499
ok fais ça :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Voici les 3 rapports :
http://pjjoint.malekal.com/files.php?id=20150123_r13s7y6k6i15
http://pjjoint.malekal.com/files.php?id=20150123_p6v5z9n12i9
http://pjjoint.malekal.com/files.php?id=20150123_9x15w14j10h13


Merci ;)
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 499
Ca a l'air bon,

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


En effet c'est pas mon PC perso, donc je ferais passé le mot ! ;)
En tous cas merci bien de l'aide, tous c'est arrangé et j'ai appris pas mal de trucs ! Je vais faire ce que tu préconises !

Bonne journée a toi !

Rémi
Messages postés
10505
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
8 mars 2021
599
Vu