Infection BackdoorRésolu/Fermé

Question

Bonjour, 

Je reviens vers vous après une longue période tranquille mais malheureusement hier j'ai été infecté en téléchargeant et en installant un driver pour un chargeur de pile Energizer.

Depuis j'ai une très grande activité de mise en réseau du genre svchost. exe avec l'adresse: ff02::c ; ou aussi: ff02::1.2 ; ff02::1.3; etc...
Je trouve aussi des bouclages ipv4 et de nombreuses autres activités du même style. Il semblerait selon plusieurs sources qu'il s'agirait d'un backdoor. J'ai donc voulu vous poster un rapport Pre_scan mais quand je le lance il crash juste après la création du backup.
Je ne sais pas trop comment m'y prendre sans danger donc je fais appel a vos talents et votre solidarité.
Je remercie des maintenant l'âme charitable qui saura m'aider a régler ce soucis. 
Bien à vous.

Configuration: Windows 7 / Firefox 43.0

fabul · Answer

Salut,

Fais un nettoyage avec AdwCleaner 

Fais un nettoyage avec  ZHPCleaner

Installe RegRun Reanimator (Download Mirror 1 ou 2)

Clic sur "Fix Problems".

Clic sur "Scan Windows Startup...".

Coche la case "Use Deep Level Scanning Once (For Advanced Users)".

Clic sur "Make Scan Now".

Patiente durant l'analyse.

Clic sur "Fix Problems".

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

Attention, il détecte souvent des faux positifs (des bons fichiers).

Tu peux faire des recherches sur Internet.

Si tu a besoin d'aide, voir plus bas*

Assure toi de ne supprimer que des malwares ou inutiles avec le bouton "Get It Out", sinon tu peux endommager ton système,

Passe avec la flèche pour les autres ou clic sur "False Positive" si c'est un item que tu connais.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.


Regarde si tu vois quelque chose de mauvais ou inutile surtout dans les onglets "Logon" et "Scheduled Tasks" de Autoruns


Dans certains cas il faut réinitialiser les navigateurs:
http://christians-steffen.fr/telecharger/telecharger-resetbrowser/


Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

Clic-droit dans le milieu de la fenêtre et choisis "Save To File" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

isotope72 · Answer

Bonsoir,

Merci de ta réponse si rapide, je m'y colle de suite et je reviens faire un rapport. Merci

isotope72 · Answer

Je viens de lancer les scan adwcleaner, zhp et Reanimator. Ils ont travaillés et j'ai nettoyé les erreurs. Zhp m'a donné 2 serveurs en me demandant si je les avait créé et j'ai mis non. Le soucis c'est que les activités suspectes sont toujours la, meme si je débranche mon câble internet je vois toujours les mêmes choses. Alors que je n'ai aucuns programme qui tourne je vois des connexions firefox, et svchost a la pelle ainsi que des bouclages ipv4 et ipv6 et une activité réseau d'environ 20 connexions TCP. 
J'ai aussi des adresses de ce style: edge-star-mini-shv-01-bru2.facebook.com
ou finissants par amazonaws
Es-ce bien une infection? 
Merci pour votre aide.

fabul · Answer

Si Firefox est actif, c'est un peu normal qu'il tente de se connecter.

Avec Reanimator, tu ne vois rien ?

isotope72 · Answer

D'accord mais en fait même quand firefox est fermé je vois tout un tas de connexion de celui ci, même au démarrage sans ouvrir un seul programme je le vois dans l'activité réseau. Je regarde assez souvent dans le moniteur de ressources et je vois mes activités en réseau mais depuis l'installation de ce malheureux driver j'ai une liste longue comme le bras de connexions avec des ips vraiment louches.

Réanimator ne m'a rien affiché de significatif néanmoins j'ai eu 2 alertes de watchdog qui me dit qu'il a trouvé des modification windows nt:
ICM_updaterService Disp
Avec toute une liste de paramètres dont DHCP, tcpip, etc... 

Que dois je faire pour ceci?

isotope72 · Answer

Avec un - (retiré)

Concretement que cela veut t'il dire et quelle actions dois-je choisir? J'ai un moins devant  ICM_updaterService Disp 
et j'ai ces actions:
"Accept change" "Disinfect" "change back" ou "Restore profile"?

isotope72 · Answer

Ah ok je comprends mieux, avec reanimator j'ai eu un résultats la dessus donc vu que je n'ai pas d'appareils samsung que je relis a mon pc je l'ai supprimé.
Et sinon pour le reste tu en penses quoi?

fabul · Answer

Regarde avec Process explorer, si tu ne le connais pas.

C'est anormal que Firefox fonctionne au démarrage du PC, a moins qu'il y ait eu des changements, Firefox change...

Tu peux regarder avec Autoruns si il démarre d'une manière ou d'une autre.

isotope72 · Answer

Apres avoir coupé firefox a partir du processus il me reste ceci:



Es-ce normal?

fabul · Answer

Je ne crois pas qu'il y ait quelque chose de louche.

Si tu t'inquiète pour tes connexions réseau, installe Comodo Firewall.

Sur Windows 7 l'ancienne version 5.10 va très bien.

Tu installe le pare feu seulement dans les options d'installation personnalisées.

Tu désactive tout manuellement dans les paramètres de Defense+

http://www.oldversion.fr/windows/comodo-internet-security/

isotope72 · Answer

Ok donc je vais l'installer et surveiller voir si tout est ok, en fait quand j'ai installé le driver en question j'ai eu une alerte de mon antivirus et j'ai effacé le fichiers en question puis quand j'ai regarder sur le net j'ai vu qu'un backdoor se trouvait dans le fichier. J’espère m’être inquiéter pour rien.
En tous cas je te remercie de m'avoir consacrer de ton temps pour regarder. Je mettrai le sujet en résolu demain si je ne vois aucun soucis.
Je te souhaite une bonne nuit et encore merci.

fabul · Answer

Quand la version Platinum sera rendue a échéance, tu pourra utiliser la version Reanimator, mais il ne surveille pas.

Si tu désinstalle RegRun, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

A coté de l'horloge, RegRun Start Control...

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun.

@+

fabul · Answer

Il ne faut pas que j'oublie de te dire de mettre le pare feu comodo en mode personnalisé pour une sécurité accrue.

Et Regarde avec Autoruns si la ligne de  ICM_updaterService Disp est jaune, donc fichier non présent, tu peux supprimer avec Autoruns si tu n'avais pas vraiment besoin de cet item Samsung.

Ensuite dans l'avertissement RegRun Watchdog, Accept, pour confirmer ta volonté de supprimer ce service.

Infection Backdoor

13 réponses

Discussions similaires

Newsletters