[XP] [Virus]Conficker

[aware2]

Bonsoir à tous,

Je me permets de venir demander de l'aide ici, au sujet du virus Conficker.

En effet, depuis jeudi je suis touché par le virus Conficker dans ma société (et ouais... société en carton... no comment sur son fonctionnement ^^)

Petit à petit j'installe les correctifs (http://www.microsoft.com/france/technet/security/bulletin/ms08-067.mspx) sur les postes XP SP2/SP3. Cela résout le problème. (le problème était que plusieurs services (dont le fameux service "serveur") se stoppent).

Or, j'ai des machines de production en SP1 que je ne peux pas passer en SP2 pour cause d'incompatibilité d'applications.

Malgré l'outil de détection de Microsoft pour ce virus, il ne trouve rien sur cette machine... pourtant les services se stoppent toujours...

J'avais trouvé aussi sur le site de Microsoft la méthode manuelle (elle fait environ 7 pages) pour supprimer/bloquer ce virus... mais pour l'instant ce n'est pas concluant, car d'ailleurs un des premiers points de cette méthode consiste à installer la maj...

Ce virus crée aussi un service nommé aléatoirement (de 5 à 7 lettres), mais il n'y est même pas...

(je ne retrouve plus le lien de la méthode manuelle ^^ dès que je retrouve je link)

Je coince vraiment, je commence à fatiguer (je continue demain après une bonne nuit de sommeil ) et je tourne en rond...

Si vous avez des pistes pour éradiquer cette me**e

Merci d'avance

Billah

edit : j'ai oublié de préciser, direct quand les services se stoppent, message d'erreur concernant Svchost.exe

Ah j'ai retrouvé une méthode manuelle

http://blogs.technet.com/mathieum/archive/...-conficker.aspx

c'est pas celle là que j'ai trouvé sur le site de microsoft, mais c'est un peu près la même.

[aware2]

http://www.microsoft.com/technet/security/...n/ms06-040.mspx

Je viens de trouver ca, je teste ca demain.

[noisette]

Salut,

peut-être avec un désinfectant comme celui-ci: http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Sinon, attend le passage de Snooky pour avoir son avis, ainsi que celui des autres.

[aware2]

Bonjour,

Merci pour le lien, je teste tout à l'heure

[snooky]

Désactive la restauration système .

Lance ce Fix :

http://www.symantec.com/content/en/us/glob...FixDownadup.exe

Lance MBAM , analyse complète et supprime tout ce qu'il trouve :

http://www.malwarebytes.org/

Lance ComboFix ( n'installe pas la console ) , puis poste le rapport créé :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[aware2]

Bonjour,

Je teste ca de suite.

Merci

[aware2]

Re,

Des news alors.

Tout d'abord j'ai fait tout ce que tu m'a dit en mode sans echec, car j'ai quelques difficultés à démarré en mode normal, mais je pourrai ressayer plus tard si tu veux.

- Alors tout d'abord le fix de Symantec ne trouve rien.

- le log de MBAM :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 1

01/02/2009 11:31:20
mbam-log-2009-02-01 (11-31-09).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 89101
Temps écoulé: 13 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\svchost.exe (Trojan.Agent) -> No action taken.

J'ai pas voulu supprimé tout ce qu'il trouve comme tu m'a dit, car j'avais peur qu'il supprime le svchost.exe. Mais s'il faut vraiment le faire je vais le faire.

- le log de ComboFix

ComboFix 09-01-31.01 - Administrator 2009-02-01 11:34:19.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.1.1252.1.1033.18.2047.1650 [GMT 1:00]
Lancé depuis: c:\outils pour supprimer le virus\new fix\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\tel.xls.exe
c:\windows\backinf.tab
c:\windows\session.exe
c:\windows\svchost.exe
c:\windows\system32\filekan.exe
c:\windows\system32\socksa.exe
c:\windows\ufdata2000.log

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-01-01 au 2009-02-01  ))))))))))))))))))))))))))))))))))))
.

2009-02-01 11:12 . 2009-02-01 11:12	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2009-02-01 11:12 . 2009-02-01 11:12	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-01 11:12 . 2009-02-01 11:12	<DIR>	d--------	c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-02-01 11:12 . 2009-01-14 16:11	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-01 11:12 . 2009-01-14 16:11	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-01 10:17 . 2009-02-01 11:31	<DIR>	d--------	C:\outils pour supprimer le virus
2009-02-01 09:50 . 2009-02-01 09:50	<DIR>	d--h-----	c:\windows\$hf_mig$
2009-02-01 09:50 . 2006-07-14 16:53	307,200	---------	c:\windows\system32\dllcache\netapi32.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\documents and settings\NCXP2\Start Menu\Programs\Startup\
EQUIPE.BAT [2004-11-25 164]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Avid Unity Connection Manager.lnk - c:\program files\Avid Technology\Avid Ethernet Attached Client\ConnectionManager.exe [2005-01-20 82011]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"= mbx2midu.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CPQEASYACC]
--a------ 2001-12-15 00:01 32768 c:\program files\COMPAQ\Easy Access Button Support\STARTEAK.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2003-11-17 10:33 3022848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-01-20 17:13 98304 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\srmclean]
--a------ 2001-07-24 22:34 36864 c:\cpqs\scom\srmclean.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2003-11-17 10:33 753664 c:\windows\system32\nwiz.exe

S1 ATCP;Alacritech TCP Fast-path driver;c:\windows\system32\drivers\atcp.sys [2005-01-20 153088]
S1 PDIDRV;PDIDRV; [x]
S3 Flamethrower;Flamethrower;c:\windows\system32\drivers\Flamethrower.sys [2005-01-20 55552]
S3 MBX2DFU;MBX2DFU;c:\windows\system32\drivers\mbx2dfu.sys [2007-06-29 15488]
S3 MBX2MIDK;Digidesign Mbox 2 Midi Driver;c:\windows\system32\drivers\mbx2midk.sys [2007-06-29 15232]
S3 SLIC;Alacritech Accelerator;c:\windows\system32\drivers\slic100.sys [2005-01-20 858624]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSBL
*NewlyCreated* - FSBTS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\Auto\command - C:\tel.xls.exe
\Shell\AutoRun\command - RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe
.
.
------- Examen supplémentaire -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
TCP: {33D4864B-CDE5-48EC-8A52-DC203E191DD1} = 193.20.100.12
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-02-01 11:34:58
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(228)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(284)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2009-02-01 11:35:45
ComboFix-quarantined-files.txt  2009-02-01 10:35:44

Avant-CF: 3 524 608 000 bytes free
Après-CF: 3,577,774,080 bytes free

97

Je crois MBAM voulait se connecter à Internet pour faire sa maj, mais vu que j'étais en sans échec, pas de maj.

Sinon, je viens de redémarrer en normal, ca bug toujours (svchost qui plante et services qui se stoppent) mais maintenant j'ai bien un service qui apparait qui correspond au virus. Je l'ai désactivé.

Bon vu que j'ai pas suivi à la lettre ce que tu m'a dit... je vais réessayer MBAM en supprimant ce qu'il veut supprimer. Aucun risque qu'il me dégage complétement svchost ?

Merci beaucoup en tout cas

[snooky]

Aucun risque ... supprime ce que MBAM trouve .

Lance à nouveau ComboFix en mode normal et poste le apport créé.

Ne met pas de balises CODE pur les rapports ... juste un copier/coller .

[aware2]

Je suis pris sur d'autres machines là, je ne sais pas si j'aurai le temps de continuer aujourd'hui.

Je suis en repos lundi, mardi.

En tout cas merci beaucoup pour ton aide. Je te tiens au courant mercredi.

Merci encore

[aware2]

Hello snooky,

Quelques news (depuis le temps...) :

J'ai comblé la faille quasiment sur tout le parc... pourtant malgré les différents outils que tu m'a donné, la machine en SP1 continuait de galérer... (services qui se coupaient et le svchost.exe qui plantait...)

J'avais tenté une install du SP2, mais l'application de production ne fonctionnait plus...

J'avais tenté la méthode manuelle de suppression, mais elle est bien rude cette méthode... ca changeait pas grand chose.

Dernier truc que j'ai testé ce soir, faire croire au système qu'il est en SP2 (une valeur à changer dans la base de registre), installation de la maj critique pour la faille, et hop, ca à l'air de tenir... C'est de la bidouille, mais bon... je commençais vraiment à ne plus savoir quoi faire...

En tout cas une belle m*rde ce virus...

Et encore merci de ton aide snooky