Win32/Zpevdo.A et Win32/Occamy.C [Résolu/Fermé]

Signaler
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

J'ai des messages d'avertissement de microsoft essential security :
Trojan:Win32/Zpevdo.A
Category: Trojan
Path: file:_C:\Windows\System32\EnrollCertXaml.dll
souvent précédé de l’événement système suivant :
The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.

et

Trojan:Win32/Occamy.C
Path: taskscheduler:_C:\Windows\System32\Tasks\Microsoft\Windows\UPnP\UPnPHostServices;
file:_C:\Windows\System32\Tasks\Microsoft\Windows\UPnP\UPnPHostServices;
file:_C:\Windows\System32\wmassrv.dll;service:_wmassrv;
regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB864D49-5A4B-4D8C-8AFC-53A13DC74B9C};
regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UPnP\UPnPHostServices

Malwarebytes et adwcleaner n'ont rien détecté.

J'ai également les BSOD suivant qui j'espère résultent des virus :

kmode_exception_not_handled 0x0000001e
page_fault_in_nonpaged_area
system_thread_exception_not_handled

J'ai exécuté le script suivant comme cela a été conseillé dans un topic récent concernant Zpevdo.A, en espérant que cela nettoie cette menace mais elle persiste après un redémarrage du PC :

CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer\Run: [Application] => C:\ProgramData\system\dllhost.exe
HKLM\...\Policies\Explorer\Run: [Application Data] => C:\ProgramData\system\lsass.exe [186231 2018-06-13] (Microsoft Corporation)
C:\ProgramData\system
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Aussi pensez vous que ces trojans puissent enregistrer les mdp de logmein et teamviewer ? ou le trojan se concentre plutot sur les mots de passe des navigateurs ?

Merci.

4 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588
Salut,


Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Bonjour Malekal,

Merci beaucoup, voici les fichiers :

Addition :
https://pjjoint.malekal.com/files.php?id=20180626_j7j8z11g6j11

FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20180626_w5p11y11u6y7

Shortcut :
https://pjjoint.malekal.com/files.php?id=20180626_r9u7r5r12y13
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588
Pas l'air infecté.
Path: file:_C:\Windows\System32\EnrollCertXaml.dll est plutôt lié à un miner : https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/troj64_wmine.b

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Merci Malekal

Le PC a mis longtemps à télécharger la base de signatures des virus, le débit est faible.
Même si cela ne sert a rien voici la capture d'écran montrant que ESET n'a rien trouvé : https://ibb.co/dSJzUo
Je n'ai pas vu de rapport, je pense que c'est uniquement lorsqu'il trouve quelque chose qu'il génère un fichier.

Je vous poste ici une analyse du dump du dernier BSOD, au cas ou cela vous parlerai
https://pjjoint.malekal.com/files.php?id=20180626_h1514w14l12q11
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588
il faut utiliser whocrashed pour les BSOD.
Tu en as eu des nouveaux ?


On peut aussi utiliser WhoCrashed pour obtenir des informations sur ces plantages.
Télécharger et exécute Whocrashed : Telecharger WhoCrashed
=> Tutoriel WhoCrashed
Fais un copier/coller du contenu ici comme indiqué dans le tuto.

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

J'ai eu un nouveau BSOD ce matin, après avoir fait des scan de malwarebytes, adwcleaner, et un scan profond de microsoft essential security.

En théorie depuis le dernier BSOD rien n'a changé car j'ai toujours microsoft essential security qui s'ouvre toutes les deux minutes pour signaler un trojan.

J'ai mis le rapport de Whocrashed ici car il est un peu long :
https://pjjoint.malekal.com/files.php?read=20180626_z13b8x14k9c8
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588
essaye ça :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\System32\wmassrv.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588 > ulfheonar
oula....
Il est à jour ton Windows ?
Parce que si la vulnérabilité n'est pas corrigée ça va revenir.
Des ordinateurs ont besoin d'accéder aux partages de fichiers/dossiers vers ton ordinateur ou inversement ?
Oui j'ai mis le patch MS17-010 et j'ai mis Windows à jour.
Non c'est un PC dans un environnement industriel qui ne doit pas faire tourner autre chose que le logiciel lié a un automate.
Je surveille les BSOD, pour l'instant rien de nouveau
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588 > ulfheonar
Si cet ordinateur est dans le réseau de l'entreprise et qu'il reçoit ces requêtes, ça veut dire qu'il y a d'autres ordinateurs infectées.
Voire principe des vers : https://www.malekal.com/vers-informatiques-worm/

Du coup tu peux désactiver le partage de fichiers.
Touche Windows + R
tape services.msc et OK.
Cherche le service serveur de fichiers et clic droit dessus puis arreter.
Voir si ça n'a pas d’incidences.
Si tout est OK. tu double-clics sur le service et tu mets en manuel.

Ca veut aussi dire que la pare-feu de Windows est désactivé ou mal réglé, il laisse passer des services qui ne sont pas utiles.
Bonjour Malekal,

En effet le 28/06 j'ai pu noter avec Kaspersky les adresses IP du réseau local qui ont attaqué le PC sur le port 445.
J'ai désactivé le partagé réseau qui est inutile sur le PC et prévenu l'entreprise de leur réseau contaminé afin que soit pris en charge les autres PC du réseau.

Depuis le 28/06 il n'y a pas eu de nouveau BSOD donc cela semble résolu, merci encore pour ton aide, Kaspersky m'aura bien servi.

A+
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 588 > ulfheonar
de rien :)
change tes mots de passe par sécurité :)