Series / PC135HAM/HAG

Profil Facebook de Jacques Doumont

PC XP-2006 complètement rongé par plus d'un an d'infections cumulées : rogue, rootkit & trojan

Mai 2010E04-06

 

Sachant que le service du centre de sécurité intégré à XP est désactivé ...

 

 

... cet écran au démarrage est impossible à obtenir dans une machine saine (d'autant plus que XP est en français) :

 

 

Il s'agit d'un faux logiciel de sécurité.

 

 

De nouvelles icônes sont apparues spontanément sur le bureau :

 

 

 Des liens vers des sites pornographiques

 comme pornotube.com et nudetube.com

 

 Digital Protection est un rogue.

 Un faux logiciel de sécurité installé par un trojan

 

 Digital Protection is only attempting to scare

 you into starting to think you need its licensed

 version so as to maintain your cyber security.

 

Le répertoire du rogue "Digital Protection" en \Program Files :

 

 

Une DLL est impossible à éliminer : répertoriée dans la registry, elle est en cours d'utilisation (cachée derrière un processus svchost) :

 

 

Une autre DLL du même répertoire (hébergeant le rogue) est également vérolée (Packed Generic.295) :

This heuristic detection is used to detect threats associated with the following families : Trojan.Vundo, Backdoor.Tidserv and WindowsAntivirusPro (un autre rogue)

 

 

Note : le gestionnaire des tâches de XP n'est plus disponible (option grisée) :

 

 

Il faut donc ruser : disposer d'un logiciel "alternative task manager" en "portable application" pour arrêter les processus malins.

 

Spybot mentionne bien une attaque du "TaskManager" :

 

 

Un autre programme participant à l'infection est : sysmon64x.exe (en User\Local Settings\Temp) :

 

 

Ce fichier est un Trojan.Agent/Gen-Frauder qui est répertorié dans la Registry; il est actif au démarrage de Windows :

 

Sont également "programmés" pour démarrer avec Windows :

- b.exe (TurboNet ou Monopod) et Zkl.exe (YVIBBBHA8C) : Win32/TrojanDownloader.FakeAlert.AFQ & Trojan.Agent/Gen-CDesc[X]

- Paul.exe : non encore identifié; le User est Paul ?

 

SearchProtection.exe is an application which lets you manage Yahoo! as your default search engine. When changes to your default search settings are made, it will alert you of those changes and provide you with a notification so you can confirm the change or maintain your default search setting.

 

L'antivirus affiche 566 fichiers mis en quarantaine :

 

 

Comme par exemple (Trojan.FakeAV!gen24) :

 

zdigoa.exe et msa.exe qui sont repondus à chaque démarrage du PC

 

L'antivirus signale que l'infection est passée dans le SystemRestore ...

... et que le répertoire \system32\drivers est solidement infecté par un Hacktool.Rootkit (depuis [au moins] avril 2009 !) :

 

 

Spybot détecte 94 problèmes graves après le nettoyage par l'antivirus :

 

 

Mais il ne peut les résoudre tous :

 

 

Nuisances résiduelles :

 

"Letf alone" = non destructible par l'antivirus - azton.mt en "Service Réseau" !

 

 

Le plus gros souci est "user32.dll" qui (bien entendu) est en cours d'utilisation ("found in operating memory") et ne peut ni être nettoyé ni détruit ni remplacé !

 

 

Nod32 laisse un espoir de nettoyage du fichier au prochain reboot :

 

 

Après reboot :

Kernel file C:\WINDOWS\system32\USER32.dll Win32/Pinit virus Alert was generated during the system startup file check.
 

 Situation des user32.dll :

Les trois dernières versions (issues de Windows Update) sont de la même taille : celle du 13/04/2008 (ServicePack3) : 579.584 bytes.

Celle du dllcache a été nettoyée (5/05/2010). Celle (active) du system32 reste avec la date probable de l'infection mais semble également nettoyée.

Comparaison avec une machine saine également sous XP SP3 :

579.584 bytes est bien la taille du fichier d'avril 2008

 

Et pourtant au redémarrage suivant :

 

 

Coriace la bête. Une vraie pourriture.

Aux grands maux, les grands remèdes : Ultimate Boot CD, remplacement du fichier vérolé par un user32.dll en provenance d'une machine saine sous XP SP3 (mis sur une clé USB). Plus d'alerte au redémarrage.

 

Nouvelle situation des user32.dll :

 

 

Windows update complet et vérification des fonctions primordiales du PC : successfull.

Test des performances générales : successfull.

Listes : items de démarrage - pilotes - services de XP.

Avatar considéré comme clôturé.

PC SELECTION ULTIMATE 2006BX80553D945

 

éclaté des pièces principales :

DualCore Intel Pentium D 945, 3400 MHz (Presler C1 - 17 x 200 - LGA 775 - FSB800  - 376 millions de transistors - 0,065 µ - RD: 2006Q3)

Release Date : July 23, 2006 - OEM Integration : September 09, 2006

 

 

Asus P5LD2-VM SE (2 PCI, 1 PCI-E x1, 1 PCI-E x16, 2 DDR2 DIMM, Audio, Video, Gigabit LAN - Intel Lakeport-G i945G - AMI 30JUN2006)

http://www.asus.com/Motherboards/Intel_Socket_775/P5LD2VM_SE

http://drivers.softpedia.com/progDownload/Asus-ATK-0110-Virtual-Device-ACPI-Driver-Download-18244.html (Asus ATK 0110 Virtual Device ACPI Driver)

RAM : 1 Gb DDR2-533 (Dual Channel)

 

Relevé le 01/07/2008

CPU Multiplier : 17x - DDR2-533

Relevé le 05/04/2010

CPU Multiplier : 12x - DDR2-756 ???

 

DIMM2: Kingmax KLBC28F-A8KB4 512 Mb DDR2-533 (5-4-4-12 @ 266 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz) Unbuffered DIMM
DIMM4: Kingmax KLBC28F-A8KB4 512 Mb DDR2-533 (5-4-4-12 @ 266 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz) Unbuffered DIMM
Graphics : PCI-E nVidia GeForce 6600 (256 Mb DDR, Asus EN6600) - DirectX9.0c

Intel 82801GB Serial ATA Storage Controllers -> HD/SATA-300/250Gb : Maxtor 6V250F0 (7200 RPM, 16 Mb buffer)

 

1.175 allumages et 15.484 heures de fonctionnement (depuis le 22 septembre 2006); aucune alerte.

Démarré 27 fois par mois; 354 heures par mois (11,8 heures par jour, pendant 43,8 mois)

 

Intel(R) 82801GB Ultra ATA Storage Controllers -> ATAPI DVDRW DW 8X16X8X16

Realtek ALC882/D/M @ Intel 82801GB ICH7 High Definition Audio Controller - Intel(R) PRO/1000 PL Network Connection

Canon PIXMA iP4000 - Case = CoolerMaster Centurion - TFT : Al1917as

 

Test des performances générales :

 

PCMark 04 - 05 : conformes

 

Boot Time : 00:02:05

 

Le PC est prêt à travailler avec 98% de ses ressources en 2 minutes et 5 secondes.

Un temps de mise en route tout à fait honorable pour un P4.

On notera que cette mesure ne peut être obtenue que si aucun processus malin consommant plus de 5% de CPU ne travaille en arrière-plan.

 

 

- atkkbservice.exe est un processus installé par les claviers Asus et fournit des options de configuration supplémentaires pour ces périphériques.

- toshibavoipphone.exe : téléphone USB pour Skype.

 

Test des performances graphiques :

 

 

3DMark 06 - 01 : conformes

 

Avatar en octobre 2010J14 : le boot disk Maxtor de 2006 a rendu l'âme.

Nouveau disque :

 

Avatar suivant : rogues 11H18-19 / NO-RESTORE XP FROM 2010J14GHOST9HD2 CAUSE BAD IMAGE / EMAIL is HOTMAIL [NOMORE MSOE/SKY] / DOC'S are : NOTHING_NEW_BY_PAUL

http://www.commentcamarche.net/faq/32202-desinstaller-personal-shield-pro-rogue - http://www.bleepingcomputer.com/virus-removal/personal-shield-pro : Personal Shield Pro
http://tigzyrk.blogspot.com/2011/07/rogue-security-protection.html Security Protection

 

 

Format c: car hd2:\image.v2i is invalid. - Install Win - Restore by copy from v2i - Change Bak System To Acronis - Pass goto vino

Related DivX :

 

RogueKiller V5.3.3 [18/08] par Tigzy - contact sur http://www.sur-la-toile.com - mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
 
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Paul [Droits d'admin]

Processus malicieux: 5
[SUSP PATH] 1459788001:510131624.exe -- c:\windows\1459788001:510131624.exe -> KILLED [TermProc]
[SUSP PATH] cqevxty.dll -- C:\WINDOWS\cqevxty.dll -> UNLOADED
[SUSP PATH] cqevxty.dll -- C:\WINDOWS\cqevxty.dll -> KILLED [TermProc]
[RESIDUE] 1459788001:510131624.exe -- c:\windows\1459788001:510131624.exe -> KILLED [TermProc]
[SUSP PATH] qvphook.dll -- C:\WINDOWS\qvphook.dll -> UNLOADED
 
Entrees de registre: 9
[BLACKLIST DLL] HKCU\[...]\Run : Rjanaquzuwo (rundll32.exe "C:\WINDOWS\cqevxty.dll",Startup) -> FOUND
[SUSP PATH] HKCU\[...]\Run : Security Protection (C:\Documents and Settings\All Users\Application Data\defender.exe) -> FOUND
[SUSP PATH] HKUS\.DEFAULT[...]\Run : svchosta (C:\WINDOWS\TEMP\wsgibr\setup.exe) -> FOUND
[SUSP PATH] HKUS\.DEFAULT[...]\Run : svchost.exe (C:\WINDOWS\svchost.exe) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-1614895754-1965331169-839522115-1004[...]\Run : Rjanaquzuwo (rundll32.exe "C:\WINDOWS\cqevxty.dll",Startup) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1614895754-1965331169-839522115-1004[...]\Run : Security Protection (C:\Documents and Settings\All Users\Application Data\defender.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-18[...]\Run : svchosta (C:\WINDOWS\TEMP\wsgibr\setup.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-18[...]\Run : svchost.exe (C:\WINDOWS\svchost.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
 
Fichiers / Dossiers particuliers:
[FOLDER] plugs : c:\documents and settings\paul\application data\adobe\plugs --> FOUND
[FOLDER] shed : c:\documents and settings\paul\application data\adobe\shed --> FOUND

Contrôle des disques :

 

2011H27


free counters

FlagCounter started on March 21, 2010