Infection explorer.EXE - Rootkit.Boot.Cidox.b

Résolu
ReMmii03 -  
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Après avoir tenté beaucoup de choses, je m'en remet à vous pour un petit coup de pouce !
J'ai ces 3 infections sur mon PC qui me poses pas mal de problèmes et dont j'arrive pas à me défaire :
c:\Windows\system32\services.exe
c:\Windows\system32\lsass.exe
c:\Windows\explorer.EXE

Ces processus sont repérés par RogueKiller, qui n'arrive pas à me les supprimer. J'ai également essayer la suppression par un antivirus bootable (Avira) qui ne me les repères pas du tout.

Merci de votre aide.


Rémi

#Windows 7 Professionnel

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Ce n'est pas parce que RogueKiller mets des lignes, qu'elles sont malicieuses.
Ces fichiers sont légitimes.

Tu peux donner le rapport RogueKiller mais tu n'es surement pas infecté.
0
Réponse 2 / 10
ReMmii03
 
Merci de ta réponse et désolé du retard, je n'avais pas vu que tu avais répondu.

Voici le rapport du scan RogueKiller que je viens de refaire :


Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal

Mode : Scan -- Date : 01/22/2015 14:08:47

¤¤¤ Processus : 4 ¤¤¤
[Tr.Gootkit] services.exe(696) -- C:\Windows\system32\services.exe[x] -> [NoKill]
[Tr.Gootkit] lsass.exe(720) -- C:\Windows\system32\lsass.exe[x] -> [NoKill]
[Tr.Gootkit] explorer.exe(3056) -- C:\Windows\Explorer.EXE[7] -> Tué(e) [TermProc]
[Tr.Gootkit?Proc.Injected] firefox.exe(2860) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 13 ¤¤¤
[PUM.HomePage] (X64) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-2306828972-2447113036-1400921264-1129\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 5 (Driver: Chargé) ¤¤¤
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x6fff0158 (jmp 0xfffffffff8ed33a8)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - NtDeviceIoControlFile : Unknown @ 0x326fa65 (jmp 0xffffffff8bf601a6|jmp 0x39|call 0xffffffffffffff3e)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x32239ba (jmp 0xffffffff8bef3837|jmp 0xf)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x3e439ba (jmp 0xffffffff8cb13837|jmp 0xf)
[IAT:Inl(Hook.IEAT)] (chrome.exe) ntdll.dll - RtlPcToFileHeader : Unknown @ 0x6ab39ba (jmp 0xffffffff8f783837|jmp 0xf)

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKX-08ERM SCSI Disk Device +++++
--- User ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User != LL1 ... KO!
--- LL1 ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User != LL2 ... KO!
--- LL2 ---
[MBR] 703ed32daa9a13cab1c5857100aab18e
[BSP] 6996de648c10c25e3624d55f2cc6a13b : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 461438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 948099072 | Size: 14000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]


============================================
RKreport_DEL_01062015_094833.log - RKreport_DEL_01062015_094842.log - RKreport_DEL_01062015_094851.log - RKreport_DEL_01062015_094915.log
RKreport_DEL_01202015_103530.log - RKreport_DEL_01202015_110840.log - RKreport_DEL_01202015_111029.log - RKreport_SCN_01062015_094800.log
RKreport_SCN_01202015_103353.log - RKreport_SCN_01202015_110702.log - RKreport_SCN_01202015_111003.log - RKreport_SCN_01202015_111705.log
RKreport_SCN_01202015_133641.log - RKreport_SCN_01202015_161356.log
0
Réponse 3 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

puis :


Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.

0
Réponse 4 / 10
ReMmii03
 
Voici le premier rapport avec TDSSKiller :

http://pjjoint.malekal.com/files.php?read=20150122_z8h6x5t7w11

Je vais essayé de voir pour le deuxième, mais ça ne me le propose pas a la fin ! ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Effectivement, c'est mal :

16:41:50.0523 0x0d40 [ E731AA4BA3C10C5620819ED3EFE209FC ] \Device\Harddisk0\DR0\Partition1
16:41:50.0523 0x0d40 \Device\Harddisk0\DR0\Partition1 - detected Rootkit.Boot.Cidox.b ( 0
16:41:50.0523 0x0d40 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - infected )

Il faudrait relancer TDSSKiller et faire Cure dessus.
0
Réponse 6 / 10
ReMmii03
 
Je l'ai fait et rescanné après, il ne trouve plus rien ! ;)
Par contre j'ai essayé NOD32 avec plusieurs navigateur, rien a faire il me montre rien a la fin. Il me propose juste de l'acheter ou de de l'essayer gratuitement, mais pour l'essai gratuit ça ne va pas plus loin.

Merci de ton aide,
Rémi
0
Réponse 7 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok fais ça :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

0
Réponse 8 / 10
ReMmii03
 
Voici les 3 rapports :
http://pjjoint.malekal.com/files.php?id=20150123_r13s7y6k6i15
http://pjjoint.malekal.com/files.php?id=20150123_p6v5z9n12i9
http://pjjoint.malekal.com/files.php?id=20150123_9x15w14j10h13


Merci ;)
0
Réponse 9 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Ca a l'air bon,

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


0
Réponse 10 / 10
ReMmii03
 
En effet c'est pas mon PC perso, donc je ferais passé le mot ! ;)
En tous cas merci bien de l'aide, tous c'est arrangé et j'ai appris pas mal de trucs ! Je vais faire ce que tu préconises !

Bonne journée a toi !

Rémi
0
afideg Messages postés 10517 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
 
Vu
0

Discussions similaires

Explorer.exe plante a chaque démarrage/redémarrage
Benjamin -
Malekal_morte- -

12 réponses
plantage explorer.exe
pandax27 -
pandax27 -

2 réponses
Probleme avec explorer.exe
manu -
cmonpseudoamoa -

1 réponse
explorer.exe plante systematiquement
jiantox -
jiantox -

3 réponses
Explorer.exe
JesSD31 -
JesSD31 -

2 réponses