Win7: Emotet / Artemis tenace
Dernière réponse : dans Sécurité et virus
tamone
13 Décembre 2017 11:05:00
Bonjour,
Je travaille dans une école et plusieurs PC Win 7 sont signalés infectés. Certains ont été ré-installés en window 10, mais certains autres contiennent des données utilisateur et doivent être nettoyés. Nous avons un McAfee présent, mais les malware ne sont pas détectés dans les répertoires où ils se trouvent (c:\windows pour Artemis et c:\Windows\SysWOW64 pour Emotet).
Nous n'arrivons pas à nettoyer ces postes de manière permanente. Il semble, en premier lieu, que le nettoyage marche, mais le malware revient en partie dans le fichier:
c:\Windows\SysWOW64\logonsystem.exe
qui est lancé comme un service et fait des connexions sur des serveurs C&C externes sur les ports 8080 et 7080.
Nous avons utilisé MalwareByte Anti-Rootkit et Anti-Malware, puis AdwCleaner. Nous ne trouvons pas comment a lieu la réinstallation du malware.
Voici les fichiers de diagnostique de FRST:
FRST.txt
https://up.security-x.fr/file.php?h=Rbbf9ad36a2084b7115...
Addition.txt
https://up.security-x.fr/file.php?h=Rf98177552d2fe14d6d...
Merci pour votre aide bienvenue si vous avez un peu de temps.
Bien cordialement.
Je travaille dans une école et plusieurs PC Win 7 sont signalés infectés. Certains ont été ré-installés en window 10, mais certains autres contiennent des données utilisateur et doivent être nettoyés. Nous avons un McAfee présent, mais les malware ne sont pas détectés dans les répertoires où ils se trouvent (c:\windows pour Artemis et c:\Windows\SysWOW64 pour Emotet).
Nous n'arrivons pas à nettoyer ces postes de manière permanente. Il semble, en premier lieu, que le nettoyage marche, mais le malware revient en partie dans le fichier:
c:\Windows\SysWOW64\logonsystem.exe
qui est lancé comme un service et fait des connexions sur des serveurs C&C externes sur les ports 8080 et 7080.
Nous avons utilisé MalwareByte Anti-Rootkit et Anti-Malware, puis AdwCleaner. Nous ne trouvons pas comment a lieu la réinstallation du malware.
Voici les fichiers de diagnostique de FRST:
FRST.txt
https://up.security-x.fr/file.php?h=Rbbf9ad36a2084b7115...
Addition.txt
https://up.security-x.fr/file.php?h=Rf98177552d2fe14d6d...
Merci pour votre aide bienvenue si vous avez un peu de temps.
Bien cordialement.
Autres pages sur : win7 emotet artemis tenace
-
Répondre à tamone
Misterybean
13 Décembre 2017 11:58:43
Misterybean
13 Décembre 2017 12:51:40
Re_
Est ce que vous avez bien les droits sur ce PC ? , les outils sont puissants et peuvent avoir des
effets inattendus .
Avez vous était suivi ailleurs ?
2017-12-01 18:03 - 2017-12-01 18:08 - 000000551 _____ C:\Users\admincdi\Downloads\Fixlist.txt
Pouvez vous transmettre le fixlog ?
Est ce que vous avez bien les droits sur ce PC ? , les outils sont puissants et peuvent avoir des
effets inattendus .
Avez vous était suivi ailleurs ?
Citation :
2017-12-01 18:08 - 2017-12-01 18:09 - 000003272 _____ C:\Users\admincdi\Downloads\Fixlog.txt2017-12-01 18:03 - 2017-12-01 18:08 - 000000551 _____ C:\Users\admincdi\Downloads\Fixlist.txt
Pouvez vous transmettre le fixlog ?
-
Répondre à Misterybean
m
0
l
tamone
13 Décembre 2017 14:30:59
Hello,
Oui. admincdi est un admin local. Le pc est normalement dans un domaine. Je l'ai rapatrié dans mon bureau et je ne l'ai pas connecté au réseau pour éviter la contagion transversale constatée là où il se trouvait avant (un autre bâtiment de l'école).
Je n'étais pas déjà "suivi". J'ai composé un Fixlist.txt minimum en espérant ne rien démonter de définitif, en me basant sur des exemples. Il est vrai que c'était téméraire.
Fixlog.txt:
https://up.security-x.fr/file.php?h=Rfd9e31ed58338b6cb0...
Fixlist.txt:
https://up.security-x.fr/file.php?h=Re7fa1a849542c93515...
Oui. admincdi est un admin local. Le pc est normalement dans un domaine. Je l'ai rapatrié dans mon bureau et je ne l'ai pas connecté au réseau pour éviter la contagion transversale constatée là où il se trouvait avant (un autre bâtiment de l'école).
Je n'étais pas déjà "suivi". J'ai composé un Fixlist.txt minimum en espérant ne rien démonter de définitif, en me basant sur des exemples. Il est vrai que c'était téméraire.
Fixlog.txt:
https://up.security-x.fr/file.php?h=Rfd9e31ed58338b6cb0...
Fixlist.txt:
https://up.security-x.fr/file.php?h=Re7fa1a849542c93515...
-
Répondre à tamone
m
0
l
tamone
13 Décembre 2017 14:32:34
Misterybean
13 Décembre 2017 16:23:55
Re_
Désactive McAfee avant la correction
Correction FRST
/!\ Ce script a été établi pour cet utilisateur, il n'est pas compatible avec un autre système/utilisateur et ne
doit pas être utilisé même pour des symptômes identiques /!\
*******************************************
AdwCleaner - Recherche : /!\ Mode recherche uniquement
*******************************************
Malwarebytes Anti-Malware :
Désactive McAfee avant la correction
Correction FRST
- Copie la totalité du contenu, de Start:: à End:: (clic-droit -> Copier) de ce correctif hébergé ici ->http://textup.fr/235424wR
- Ferme toutes les applications, y compris ton navigateur
- Exécute FRST.exe (clic droit et exécuter en tant qu'administrateur)
- Attends que l'outil indique "Prêt à fonctionner" comme sur l'image
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
- NOTE : L'outil va chercher automatiquement le correctif dans le presse-papier.
![]()
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt sur le bureau. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il n'est pas compatible avec un autre système/utilisateur et ne
doit pas être utilisé même pour des symptômes identiques /!\
*******************************************
AdwCleaner - Recherche : /!\ Mode recherche uniquement
- Télécharge AdwCleaner de Malwarebytes et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
- Un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(Sx)
*******************************************
Malwarebytes Anti-Malware :
- Télécharge Malwarebytes Anti-Malware, en bas, clique sur Télécharger et enregistre le sur le Bureau.
- Installe l'application --> Double-clique sur le fichier téléchargé pour lancer l'outil
/!\ Sous Vista, Windows 7 et 8,
il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur - mettre à jour le logiciel avant le scan.
- Lance la détection par Analyser Maintenant
- A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
- Le PC va redémarrer
- Après le redémarrage, ouvres à nouveau MBAM.
- Clique sur l'onglet Compte-rendu
- Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
- Clique sur exporter --> Fichier Texte (TXT)
- La boîte de dialogue Enregistrer le fichier s'ouvre
- Donne un nom et enregistre le sur le Bureau
- Héberge le rapport et poste le lien dans ta prochaine réponse.
Rapports attendus :
--> Fixlog.txt
--> Adwcleaner Cx
--> Malwarebytes
-
Répondre à Misterybean
m
0
l
tamone
14 Décembre 2017 12:09:02
Bonjour MisteryBean,
Voilà les fichiers log.
Fixlog.txt:
https://up.security-x.fr/file.php?h=Rbfdfd4b3c6bd5bf33b...
Adwcleaner Cx:
Malwarebyte:
https://up.security-x.fr/file.php?h=Rf7a34a249fa017e478...
Malwarebyte a signalé un exploit de manière asynchrone dont voici un rapport:
https://up.security-x.fr/file.php?h=Rec7b64b715f897bf02...
Bien cordialement.
https://up.security-x.fr/file.php?h=R7b14665e2e6893a6df...
Voilà les fichiers log.
Fixlog.txt:
https://up.security-x.fr/file.php?h=Rbfdfd4b3c6bd5bf33b...
Adwcleaner Cx:
Malwarebyte:
https://up.security-x.fr/file.php?h=Rf7a34a249fa017e478...
Malwarebyte a signalé un exploit de manière asynchrone dont voici un rapport:
https://up.security-x.fr/file.php?h=Rec7b64b715f897bf02...
Bien cordialement.
https://up.security-x.fr/file.php?h=R7b14665e2e6893a6df...
-
Répondre à tamone
m
0
l
Misterybean
14 Décembre 2017 12:51:42
Bonjour,
Apparemment il s'agit d'un bug malwarebytes qui peut être en relation avec McAfee (BHO scriptproxy) et IE :
https://blogs.windows.com/msedgedev/2017/04/12/disablin...
https://forums.malwarebytes.com/topic/170206-solved-blo...
https://www.techwalla.com/articles/what-is-scriptproxy-...
**********
Erreur: (0) Impossible de créer un point de restauration.
--> Il faut réactiver la restauration .
**********
AdwCleaner - Suppression :
**********
Comment se comporte le PC ?
Citation :
Malwarebyte a signalé un exploit de manière asynchrone dont voici un rapport:Apparemment il s'agit d'un bug malwarebytes qui peut être en relation avec McAfee (BHO scriptproxy) et IE :
https://blogs.windows.com/msedgedev/2017/04/12/disablin...
https://forums.malwarebytes.com/topic/170206-solved-blo...
https://www.techwalla.com/articles/what-is-scriptproxy-...
**********
Citation :
ATTENTION: La Restauration système est désactivée Erreur: (0) Impossible de créer un point de restauration.
--> Il faut réactiver la restauration .
**********
AdwCleaner - Suppression :
- Relance AdwCleaner de Malwarebytes
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
- Patiente le temps de l'analyse et valide le message d'informations
- Un redémarrage est demandé, valider par OK
- Au redémarrage, un rapport AdwCleaner(C).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(Cx).txt
**********
Comment se comporte le PC ?
-
Répondre à Misterybean
m
0
l
tamone
14 Décembre 2017 14:40:27
Voilà:
Adwcleaner:
https://up.security-x.fr/file.php?h=Ra419c608d01d74caae...
Le PC se comporte bien. La mesure est constituée par les connexions autrefois constatées vers des serveurs C&C sur le port 8080. Ce n'est plus le cas actuellement. Le processus associé à ces connexions à été enlevé par FRST dans le Fixlist que tu m'as transmis (logonsystem.exe).
Nuos étions déjà passé par un cycle mbar, mbam et adwcleaner au point de rendre le poste sillencieux sur notre mesure pendant un court moment. Sais-tu ce qui a permi la réinfection permi les malware détectés dans les logs ?
Je te prie d'accepter mes plus vifs remerciements pour ton aide si précieuse. Je te félicite pour ton action exemplaire sur ce forum.
Bien cordialement.
Adwcleaner:
https://up.security-x.fr/file.php?h=Ra419c608d01d74caae...
Le PC se comporte bien. La mesure est constituée par les connexions autrefois constatées vers des serveurs C&C sur le port 8080. Ce n'est plus le cas actuellement. Le processus associé à ces connexions à été enlevé par FRST dans le Fixlist que tu m'as transmis (logonsystem.exe).
Nuos étions déjà passé par un cycle mbar, mbam et adwcleaner au point de rendre le poste sillencieux sur notre mesure pendant un court moment. Sais-tu ce qui a permi la réinfection permi les malware détectés dans les logs ?
Je te prie d'accepter mes plus vifs remerciements pour ton aide si précieuse. Je te félicite pour ton action exemplaire sur ce forum.
Bien cordialement.
-
Répondre à tamone
m
0
l
Meilleure solution
Misterybean
14 Décembre 2017 15:32:38
Re_
Je ne saurais dire exactement , vu que je n'ai pas tout les tenants et les aboutissants de la
désinfection , mais il semble qu'il était relancé grâce à un service :
logonsystem => service supprimé(es) avec succès
Après , les Flash player ne sont pas à jour (IE / firefox) , cela peut être la porte d'entrée du malware:
http://get.adobe.com/fr/flashplayer/about/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-461/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-413/
**********
Si tout est OK , on peut conclure :
Télécharge Delfix (de Xplode) sur ton bureau.
Rapport attendu : Delfix.txt
Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution
(en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu
Citation :
Sais-tu ce qui a permi la réinfection permi les malware détectés dans les logs ?Je ne saurais dire exactement , vu que je n'ai pas tout les tenants et les aboutissants de la
désinfection , mais il semble qu'il était relancé grâce à un service :
Citation :
S2 logonsystem; C:\Windows\SysWOW64\logonsystem.exe [99328 2017-12-08] (Styx Germany) [Fichier non signé]Citation :
"HKLM\System\CurrentControlSet\Services\logonsystem" => supprimé(es) avec succèslogonsystem => service supprimé(es) avec succès
Après , les Flash player ne sont pas à jour (IE / firefox) , cela peut être la porte d'entrée du malware:
http://get.adobe.com/fr/flashplayer/about/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-461/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-413/
**********
Si tout est OK , on peut conclure :
Télécharge Delfix (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Sous Vista et ultèrieur faire clic droit -> "Exécuter en tant qu'administrateur")
- Cochez les cases :
- Supprimer les outils de désinfection
- Purger la restauration système
![]()
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Rapport attendu : Delfix.txt
Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution
(en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu
-
Répondre à Misterybean
tamone
15 Décembre 2017 11:24:14
Bonjour,
Voilà le Delfix.txt. J'avais enlevé des outils avant à la main (appwiz.cpl).
https://up.security-x.fr/file.php?h=R81c49f2a6181ad6589...
Il me reste à nettoyer les quelques autres postes infectés au même moments !
En comparant leurs FRST, croyez-vous que je pourrais composer un Fixlist adapté ? Je ne pense qu'insérer le nettoyage du fichier/service pointant sur logonsystem.exe dedans.
Plus généralement, comment commencer à acquérir des connaissances sur la translation des logs FRST en un Fixlist plausible ?
Le service logonsystem.exe possède des dates plus récentes que le début de l'infection et à mon avis renouvelées. Ceci me laisse à penser qu'un mécanisme en amont et non encore mis en évidence l'installe à plusieurs reprise. Je vais surveiller s'il paraît à nouveau.
"2017-12-08 10:55 - 2017-12-08 10:55 - 000099328 _____ (Styx Germany) C:\Windows\SysWOW64\logonsystem.exe"
Bien cordialement votre avec mes plus vifs remerciements renouvelés.
Voilà le Delfix.txt. J'avais enlevé des outils avant à la main (appwiz.cpl).
https://up.security-x.fr/file.php?h=R81c49f2a6181ad6589...
Il me reste à nettoyer les quelques autres postes infectés au même moments !
En comparant leurs FRST, croyez-vous que je pourrais composer un Fixlist adapté ? Je ne pense qu'insérer le nettoyage du fichier/service pointant sur logonsystem.exe dedans.
Plus généralement, comment commencer à acquérir des connaissances sur la translation des logs FRST en un Fixlist plausible ?
Le service logonsystem.exe possède des dates plus récentes que le début de l'infection et à mon avis renouvelées. Ceci me laisse à penser qu'un mécanisme en amont et non encore mis en évidence l'installe à plusieurs reprise. Je vais surveiller s'il paraît à nouveau.
"2017-12-08 10:55 - 2017-12-08 10:55 - 000099328 _____ (Styx Germany) C:\Windows\SysWOW64\logonsystem.exe"
Bien cordialement votre avec mes plus vifs remerciements renouvelés.
-
Répondre à tamone
m
0
l
Misterybean
15 Décembre 2017 11:50:42
Re_
Pas forcément , il peut y avoir d'autres fichiers à supprimer , mais , vous pouvez déjà tester sur un PC
et mettre les rapports FRST et Addition + le Fixlist pour confirmer .
Après , comme dit , le plus important est de tenir les programmes à jour , car , le site le plus anodin peut être piégé et profiter de la faille d'un programme (flash , java , etc...).
Pour ma part , je suis autodidacte concernant l'informatique , et un jour , j'ai été dans votre cas , impossible de me débarrasser d'une infection et j'ai connu les forums d'entraide.
J'ai ensuite suivi une formation ici https://forum.security-x.fr/ pour devenir Helper et aider à mon tour.
Il y a de temps en temps des sessions ouvertes pour peu d'élève car les formateurs sont tous bénévoles.
En fonction du niveau de départ , la formation dure de 8 mois à 2 ans voire plus et il faut avoir du temps à consacrer à la formation .
![:)]( ":)")
Citation :
En comparant leurs FRST, croyez-vous que je pourrais composer un Fixlist adapté ? Je ne pense qu'insérer le nettoyage du fichier/service pointant sur logonsystem.exe dedans.Pas forcément , il peut y avoir d'autres fichiers à supprimer , mais , vous pouvez déjà tester sur un PC
et mettre les rapports FRST et Addition + le Fixlist pour confirmer .
Après , comme dit , le plus important est de tenir les programmes à jour , car , le site le plus anodin peut être piégé et profiter de la faille d'un programme (flash , java , etc...).
Citation :
Plus généralement, comment commencer à acquérir des connaissances sur la translation des logs FRST en un Fixlist plausible ?Pour ma part , je suis autodidacte concernant l'informatique , et un jour , j'ai été dans votre cas , impossible de me débarrasser d'une infection et j'ai connu les forums d'entraide.
J'ai ensuite suivi une formation ici https://forum.security-x.fr/ pour devenir Helper et aider à mon tour.
Il y a de temps en temps des sessions ouvertes pour peu d'élève car les formateurs sont tous bénévoles.
En fonction du niveau de départ , la formation dure de 8 mois à 2 ans voire plus et il faut avoir du temps à consacrer à la formation .
-
Répondre à Misterybean
m
0
l
tamone
15 Décembre 2017 12:41:35
...
Et bien je vais suivre vos conseils judicieux et reposterais dans ce sujet ou dans un nouveau au besoin mes FRST, Addition et Fixlist pour consultation.
Pour la formation Security-X, je viens de lire la charte et le thread des messages associés: c'est du sérieux ! Il y a très peu de formations ouvertes et très, très peu d'heureux élus. C'est aussi tout à votre honneur. Je comprends qu'étant bénévole, la formation est rare et prenante. Je dois considérer le temps que je pourrais y mettre.
Cordialement
Et bien je vais suivre vos conseils judicieux et reposterais dans ce sujet ou dans un nouveau au besoin mes FRST, Addition et Fixlist pour consultation.
Pour la formation Security-X, je viens de lire la charte et le thread des messages associés: c'est du sérieux ! Il y a très peu de formations ouvertes et très, très peu d'heureux élus. C'est aussi tout à votre honneur. Je comprends qu'étant bénévole, la formation est rare et prenante. Je dois considérer le temps que je pourrais y mettre.
Cordialement
-
Répondre à tamone
m
0
l
tamone
21 Décembre 2017 17:42:49
Bonjour Misterybean,
Je me suis fais transmettre les FRST.txt et Addition.txt de deux machines situées dans le bâtiment où l'infection a été constatée au même moment que le premier et avec les même caractéristiques sur le réseau (sortie sur les serveurs C&C et les ports 8080 et 7080).
HEPIA-WS-8393
----------------------
FRST.txt
https://up.security-x.fr/file.php?h=R2c91662e48b9398f3a...
Addition.txt
https://up.security-x.fr/file.php?h=Rcf8d76182a8ebed4ce...
LUL66811
--------------
FRST.txt
https://up.security-x.fr/file.php?h=R7d5a38225596d343a9...
Addition.txt
https://up.security-x.fr/file.php?h=R8b22978226400f18c5...
A par les services <xxxxxxxx>.exe ou x=0,...,9 du répertoire C:\Windows, je n'arrive pas à trouver l'exécutable qui prend un nom plus plausible et différent à chaque infection (dans le premier cas c'était .\System32\logonsystem.exe, mais à la soumission à JoeSandbox, les sous-process ont d'autres noms), cet exe qui est aussi à trouver et à enlever. Pour les services et les fichiers correspondants les FRST.txt de mon collègue donnent ceci que je peux mettre dans un Fixlist.txt:
Pour hepia-ws-8393:
S2 1039278; %SystemRoot%\19786200.exe [X]
S2 11098425; %SystemRoot%\18737624.exe [X]
S2 11545009; %SystemRoot%\26864088.exe [X]
S2 13779037; %SystemRoot%\23063000.exe [X]
S2 14168322; %SystemRoot%\26993744.exe [X]
S2 1422027; %SystemRoot%\15786888.exe [X]
S2 14413618; %SystemRoot%\35711448.exe [X]
S2 14682533; %SystemRoot%\47638408.exe [X]
S2 18552762; %SystemRoot%\21359064.exe [X]
S2 18695378; %SystemRoot%\31713752.exe [X]
S2 1914475; %SystemRoot%\17033688.exe [X]
S2 21222594; %SystemRoot%\23194072.exe [X]
S2 218089; %SystemRoot%\55634392.exe [X]
S2 22142828; %SystemRoot%\19589592.exe [X]
S2 22452849; %SystemRoot%\28174808.exe [X]
S2 22843366; %SystemRoot%\19982808.exe [X]
S2 25261819; %SystemRoot%\28371416.exe [X]
S2 26077345; %SystemRoot%\30663920.exe [X]
S2 26758180; %SystemRoot%\29682136.exe [X]
S2 277447; %SystemRoot%\26601944.exe [X]
S2 2845099; %SystemRoot%\27847128.exe [X]
S2 3066839; %SystemRoot%\13625816.exe [X]
S2 34781873; %SystemRoot%\33285912.exe [X]
S2 37404203; %SystemRoot%\38462472.exe [X]
S2 44991795; %SystemRoot%\19915688.exe [X]
S2 47308691; %SystemRoot%\13297768.exe [X]
S2 55603607; %SystemRoot%\28830168.exe [X]
S2 6388677; %SystemRoot%\15460824.exe [X]
S2 6622710; %SystemRoot%\25749976.exe [X]
S2 693580; %SystemRoot%\13691352.exe [X]
S2 71920064; %SystemRoot%\13822424.exe [X]
S2 80079197; %SystemRoot%\15919576.exe [X]
S2 8251516; %SystemRoot%\16771544.exe [X]
S2 86411044; %SystemRoot%\15919576.exe [X]
S2 9306848; %SystemRoot%\19917272.exe [X]
Pour le PC: LUL66811:
S2 14211223; %SystemRoot%\26993744.exe [X]
S2 14621256; %SystemRoot%\14150104.exe [X]
S2 1745729; %SystemRoot%\20769240.exe [X]
S2 26131602; %SystemRoot%\30663920.exe [X]
S2 28700876; %SystemRoot%\17885656.exe [X]
S2 29520490; %SystemRoot%\16116184.exe [X]
S2 32223972; %SystemRoot%\15133144.exe [X]
S2 33361344; %SystemRoot%\20638168.exe [X]
S2 3495998; %SystemRoot%\13953496.exe [X]
S2 3660345; %SystemRoot%\13625816.exe [X]
S2 45034680; %SystemRoot%\19915688.exe [X]
S2 47787801; %SystemRoot%\22669784.exe [X]
S2 80121957; %SystemRoot%\15919576.exe [X]
S2 86453601; %SystemRoot%\15919576.exe [X]
S2 89356733; %SystemRoot%\28568024.exe [X]
Mon collègue à mal compris ma demande et a lancé, en plus du scan, un nettoyage FRST avec le fixlist présent dans ce thread. Qui n'est évidemment pas adapté. La liste de fichiers modifiés est trop courte car elle n'est que sur un mois et cela est juste à la limite du début de l'infection.
Je propose un Fixlist contenant les lignes "S2...%SystemRoot%\xxxxxxxx.exe [X] correspondant à chaque machine. Mais il manque la partie sise dans un exe portant un nom composé de lettre et non de chiffres.
Bien cordialement
Je me suis fais transmettre les FRST.txt et Addition.txt de deux machines situées dans le bâtiment où l'infection a été constatée au même moment que le premier et avec les même caractéristiques sur le réseau (sortie sur les serveurs C&C et les ports 8080 et 7080).
HEPIA-WS-8393
----------------------
FRST.txt
https://up.security-x.fr/file.php?h=R2c91662e48b9398f3a...
Addition.txt
https://up.security-x.fr/file.php?h=Rcf8d76182a8ebed4ce...
LUL66811
--------------
FRST.txt
https://up.security-x.fr/file.php?h=R7d5a38225596d343a9...
Addition.txt
https://up.security-x.fr/file.php?h=R8b22978226400f18c5...
A par les services <xxxxxxxx>.exe ou x=0,...,9 du répertoire C:\Windows, je n'arrive pas à trouver l'exécutable qui prend un nom plus plausible et différent à chaque infection (dans le premier cas c'était .\System32\logonsystem.exe, mais à la soumission à JoeSandbox, les sous-process ont d'autres noms), cet exe qui est aussi à trouver et à enlever. Pour les services et les fichiers correspondants les FRST.txt de mon collègue donnent ceci que je peux mettre dans un Fixlist.txt:
Pour hepia-ws-8393:
S2 1039278; %SystemRoot%\19786200.exe [X]
S2 11098425; %SystemRoot%\18737624.exe [X]
S2 11545009; %SystemRoot%\26864088.exe [X]
S2 13779037; %SystemRoot%\23063000.exe [X]
S2 14168322; %SystemRoot%\26993744.exe [X]
S2 1422027; %SystemRoot%\15786888.exe [X]
S2 14413618; %SystemRoot%\35711448.exe [X]
S2 14682533; %SystemRoot%\47638408.exe [X]
S2 18552762; %SystemRoot%\21359064.exe [X]
S2 18695378; %SystemRoot%\31713752.exe [X]
S2 1914475; %SystemRoot%\17033688.exe [X]
S2 21222594; %SystemRoot%\23194072.exe [X]
S2 218089; %SystemRoot%\55634392.exe [X]
S2 22142828; %SystemRoot%\19589592.exe [X]
S2 22452849; %SystemRoot%\28174808.exe [X]
S2 22843366; %SystemRoot%\19982808.exe [X]
S2 25261819; %SystemRoot%\28371416.exe [X]
S2 26077345; %SystemRoot%\30663920.exe [X]
S2 26758180; %SystemRoot%\29682136.exe [X]
S2 277447; %SystemRoot%\26601944.exe [X]
S2 2845099; %SystemRoot%\27847128.exe [X]
S2 3066839; %SystemRoot%\13625816.exe [X]
S2 34781873; %SystemRoot%\33285912.exe [X]
S2 37404203; %SystemRoot%\38462472.exe [X]
S2 44991795; %SystemRoot%\19915688.exe [X]
S2 47308691; %SystemRoot%\13297768.exe [X]
S2 55603607; %SystemRoot%\28830168.exe [X]
S2 6388677; %SystemRoot%\15460824.exe [X]
S2 6622710; %SystemRoot%\25749976.exe [X]
S2 693580; %SystemRoot%\13691352.exe [X]
S2 71920064; %SystemRoot%\13822424.exe [X]
S2 80079197; %SystemRoot%\15919576.exe [X]
S2 8251516; %SystemRoot%\16771544.exe [X]
S2 86411044; %SystemRoot%\15919576.exe [X]
S2 9306848; %SystemRoot%\19917272.exe [X]
Pour le PC: LUL66811:
S2 14211223; %SystemRoot%\26993744.exe [X]
S2 14621256; %SystemRoot%\14150104.exe [X]
S2 1745729; %SystemRoot%\20769240.exe [X]
S2 26131602; %SystemRoot%\30663920.exe [X]
S2 28700876; %SystemRoot%\17885656.exe [X]
S2 29520490; %SystemRoot%\16116184.exe [X]
S2 32223972; %SystemRoot%\15133144.exe [X]
S2 33361344; %SystemRoot%\20638168.exe [X]
S2 3495998; %SystemRoot%\13953496.exe [X]
S2 3660345; %SystemRoot%\13625816.exe [X]
S2 45034680; %SystemRoot%\19915688.exe [X]
S2 47787801; %SystemRoot%\22669784.exe [X]
S2 80121957; %SystemRoot%\15919576.exe [X]
S2 86453601; %SystemRoot%\15919576.exe [X]
S2 89356733; %SystemRoot%\28568024.exe [X]
Mon collègue à mal compris ma demande et a lancé, en plus du scan, un nettoyage FRST avec le fixlist présent dans ce thread. Qui n'est évidemment pas adapté. La liste de fichiers modifiés est trop courte car elle n'est que sur un mois et cela est juste à la limite du début de l'infection.
Je propose un Fixlist contenant les lignes "S2...%SystemRoot%\xxxxxxxx.exe [X] correspondant à chaque machine. Mais il manque la partie sise dans un exe portant un nom composé de lettre et non de chiffres.
Bien cordialement
-
Répondre à tamone
m
0
l
Misterybean
21 Décembre 2017 20:40:15
Bonjour,
Pour HEPIA-WS-8393 , pas bon , il s'agît d'un trojan banker
Voir ICI : https://forum.malekal.com/viewtopic.php?t=57392#p440194
Et cette partie pour le EXE : https://forum.malekal.com/viewtopic.php?t=57392#p440194
Dans le fixlist en plus des <xxxxxxxx>.exe:
closeprocesses:
createrestorepoint:
emptytemp
S3 TechnicalSvc; C:\techsvc.exe [106233 2017-12-07] () [Fichier non signé]
2017-12-07 14:23 - 2017-12-07 14:59 - 000106233 _____ C:\techsvc.exe
Trop d'antivirus : Mcafee / MSE
***********************************************************
Pour LUL66811 , je ne vois rien de flagrant , peut être qu'il a été dégagé .
Virer les <xxxxxxxx>.exe , et voir s'il sont recréés au démarrage
Trop d'antivirus : Avast / MSE / traces de Mcafee (utiliser MCPR )
Tiens moi au courant
Pour HEPIA-WS-8393 , pas bon , il s'agît d'un trojan banker
Voir ICI : https://forum.malekal.com/viewtopic.php?t=57392#p440194
Et cette partie pour le EXE : https://forum.malekal.com/viewtopic.php?t=57392#p440194
Dans le fixlist en plus des <xxxxxxxx>.exe:
closeprocesses:
createrestorepoint:
emptytemp
S3 TechnicalSvc; C:\techsvc.exe [106233 2017-12-07] () [Fichier non signé]
2017-12-07 14:23 - 2017-12-07 14:59 - 000106233 _____ C:\techsvc.exe
Trop d'antivirus : Mcafee / MSE
***********************************************************
Pour LUL66811 , je ne vois rien de flagrant , peut être qu'il a été dégagé .
Virer les <xxxxxxxx>.exe , et voir s'il sont recréés au démarrage
Trop d'antivirus : Avast / MSE / traces de Mcafee (utiliser MCPR )
Tiens moi au courant
-
Répondre à Misterybean
m
0
l
tamone
22 Décembre 2017 16:11:43
Merci.
Bien vu pour le trojan sur 8393.
Je compose les Fixlist.txt correspondants et les envoie à mon collègue pour exécution. Le trojan banker qui utilise le nom techsvc.exe peut aussi se trouver dans c:\windows\system32.
En principe, le McAfee est notre AV pour l'école. Il ne s'installe pas pour les portables qui ne sont pas mis dans notre Domain AD, mais pour les autres et pour les stations, il devrait.
Bonnes fêtes.
Bien vu pour le trojan sur 8393.
Je compose les Fixlist.txt correspondants et les envoie à mon collègue pour exécution. Le trojan banker qui utilise le nom techsvc.exe peut aussi se trouver dans c:\windows\system32.
En principe, le McAfee est notre AV pour l'école. Il ne s'installe pas pour les portables qui ne sont pas mis dans notre Domain AD, mais pour les autres et pour les stations, il devrait.
Bonnes fêtes.
-
Répondre à tamone
m
0
l
Misterybean
22 Décembre 2017 16:20:14
Re_
Effectivement , mais je ne le voyais pas dans le rapport , dans le doute , tu peux mettre
c:\windows\system32\techsvc.exe dans le fixlist
PS : bien penser à lancer FRST en administrateur (clic droit)
Pour l'antivirus , l'essentiel c'est qu'il y en ai qu'un sur le PC , les multiplier ne sert à rien ,
la preuve ...![;)]( ";)")
Bonnes fêtes à toi aussi
Citation :
techsvc.exe peut aussi se trouver dans c:\windows\system32.Effectivement , mais je ne le voyais pas dans le rapport , dans le doute , tu peux mettre
c:\windows\system32\techsvc.exe dans le fixlist
PS : bien penser à lancer FRST en administrateur (clic droit)
Pour l'antivirus , l'essentiel c'est qu'il y en ai qu'un sur le PC , les multiplier ne sert à rien ,
la preuve ...
Bonnes fêtes à toi aussi
-
Répondre à Misterybean
m
0
l
tamone
22 Janvier 2018 14:40:46
Bonjour,
Je te souhaite une très bonne année 2018 ! En tout cas sans la grippe qui m'a un peu occupé: virus dans le monde virtuel -> monde réel: aïe.
Il reste quelques postes qui ne peuvent pas être réinstallés et où l'on doit tenter la désinfection. Comme l'infection date de fin novembre, peut-on demander à FRST de montrer des fichiers plus vieux que un mois ? Voici le premier poste:
FRST.txt
https://up.security-x.fr/file.php?h=R170499f470f80dfbc8...
Addition.txt
https://up.security-x.fr/file.php?h=R9b750d32c3db0c9b2f...
Il y a en tout cas les services sous le format maintenant habituel:
S2 1268119647; %SystemRoot%\12118488.exe [X]
S2 1335749387; %SystemRoot%\9759192.exe [X]
S2 1343007381; %SystemRoot%\9431512.exe [X]
S2 995021; %SystemRoot%\27322840.exe [X]
Mais où est le fichier supplémentaire habituellement dans c:\windows ou dans c:\windows\system32 ? Peut-être:
S3 akshasp; System32\DRIVERS\akshasp.sys [X]
S3 aksusb; System32\DRIVERS\aksusb.sys [X]
Qu'en penses-tu ?
Avec mes plus vifs remerciements et mes meilleures salutations.
Je te souhaite une très bonne année 2018 ! En tout cas sans la grippe qui m'a un peu occupé: virus dans le monde virtuel -> monde réel: aïe.
Il reste quelques postes qui ne peuvent pas être réinstallés et où l'on doit tenter la désinfection. Comme l'infection date de fin novembre, peut-on demander à FRST de montrer des fichiers plus vieux que un mois ? Voici le premier poste:
FRST.txt
https://up.security-x.fr/file.php?h=R170499f470f80dfbc8...
Addition.txt
https://up.security-x.fr/file.php?h=R9b750d32c3db0c9b2f...
Il y a en tout cas les services sous le format maintenant habituel:
S2 1268119647; %SystemRoot%\12118488.exe [X]
S2 1335749387; %SystemRoot%\9759192.exe [X]
S2 1343007381; %SystemRoot%\9431512.exe [X]
S2 995021; %SystemRoot%\27322840.exe [X]
Mais où est le fichier supplémentaire habituellement dans c:\windows ou dans c:\windows\system32 ? Peut-être:
S3 akshasp; System32\DRIVERS\akshasp.sys [X]
S3 aksusb; System32\DRIVERS\aksusb.sys [X]
Qu'en penses-tu ?
Avec mes plus vifs remerciements et mes meilleures salutations.
-
Répondre à tamone
m
0
l
Misterybean
22 Janvier 2018 15:20:03
Bonjour,
Il suffit de cocher Fichiers 90 jours dans analyse facultative donc 3 mois.
S3 aksusb; System32\DRIVERS\aksusb.sys [X]
Il n'apparait pas dans ton rapport de pilote nuisible , il a peut être était supprimé .
S3 akshasp; System32\DRIVERS\akshasp.sys : http://www.runscanner.net/lib/akshasp.sys.html
aksusb; System32\DRIVERS\aksusb.sys : http://www.runscanner.net/lib/aksusb.sys.html
Tu peux les mettre dans ton fix vu que le pilote vers lequel il pointent n'existe plus = [ X ]
***********************************************************
Par contre , je suppose que tu es courant et que tu ne peux pas y faire grand chose , mais
Windows XP est complètement obsolète et ouvert à toutes les attaques ? , plus de support
par Microsoft : https://support.microsoft.com/fr-fr/help/14223/windows-...
Ensuite , tu as des programmes obsolète :
Spybot - Search & Destroy --> Obsolète
QuickTime --> Plus tenu à jour par Apple donc failles de sécurité
J2SE Runtime Environment 5.0 Update 4 --> Devrait être en update 22 http://www.oracle.com/technetwork/java/javasebusiness/d...
Mozilla Firefox 49.0.2 (x86 fr) --> Version obsolète .
![:)]( ":)")
Citation :
peut-on demander à FRST de montrer des fichiers plus vieux que un mois ? Il suffit de cocher Fichiers 90 jours dans analyse facultative donc 3 mois.
Citation :
S3 akshasp; System32\DRIVERS\akshasp.sys [X]S3 aksusb; System32\DRIVERS\aksusb.sys [X]
Il n'apparait pas dans ton rapport de pilote nuisible , il a peut être était supprimé .
S3 akshasp; System32\DRIVERS\akshasp.sys : http://www.runscanner.net/lib/akshasp.sys.html
aksusb; System32\DRIVERS\aksusb.sys : http://www.runscanner.net/lib/aksusb.sys.html
Tu peux les mettre dans ton fix vu que le pilote vers lequel il pointent n'existe plus = [ X ]
***********************************************************
Par contre , je suppose que tu es courant et que tu ne peux pas y faire grand chose , mais
Windows XP est complètement obsolète et ouvert à toutes les attaques ? , plus de support
par Microsoft : https://support.microsoft.com/fr-fr/help/14223/windows-...
Ensuite , tu as des programmes obsolète :
Spybot - Search & Destroy --> Obsolète
QuickTime --> Plus tenu à jour par Apple donc failles de sécurité
J2SE Runtime Environment 5.0 Update 4 --> Devrait être en update 22 http://www.oracle.com/technetwork/java/javasebusiness/d...
Mozilla Firefox 49.0.2 (x86 fr) --> Version obsolète .
-
Répondre à Misterybean
m
0
l
tamone
22 Janvier 2018 15:55:43
Aïe ! XP sur le réseau, ça fait mal. L'administrateur du site de l'école distant infecté et qui m'aide et m'envoie les FRST, m'a bien dit qu'il y avait des XP. Heureusement, ils sont détachés du réseau maintenant. Il s'agit de pc liés à des appareillages d'analyse divers: spectromètre, séquenceur, etc..., par une interface dédiée avec un logiciel dédié. Evidemment, on ne peut pas mettre à jour l'OS et le logiciel. Ou pas facilement. Je pense que je ne vais pas trop t'ennuyer à chercher les éventuelles traces, alors qu'il y a tant de failles que l'on ne peut pas patcher, non ?
-
Répondre à tamone
m
0
l
tamone
22 Janvier 2018 16:41:46
Bon, voici un autre FRST d'une machine Win 7:
FRST.txt
https://up.security-x.fr/file.php?h=Rc9f02c5982879c3ba8...
Addition.txt
https://up.security-x.fr/file.php?h=R2c4d1365b87dca34ed...
Salutations
FRST.txt
https://up.security-x.fr/file.php?h=Rc9f02c5982879c3ba8...
Addition.txt
https://up.security-x.fr/file.php?h=R2c4d1365b87dca34ed...
Salutations
-
Répondre à tamone
m
0
l
Misterybean
il y a 8 minutes
RE_
Emsisoft Anti-Malware --> Risque de conflit avec McAfee
Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin --> Très très obsolète , une porte ouverte aux attaques : http://get.adobe.com/fr/flashplayer/about/
Java 7 Update 17 --> Idem flash
Mozilla Firefox 36.0.4 (x86 en-US) --> Version ancienne , à désinstaller car ne sert pas.
**************************************************************************
Pour le fix , pas de pilote nuisible . Reste comme à chaque fois : (un scan 3 mois serait pet être utile ici)
S2 1744278; %SystemRoot%\20769240.exe [X]
S2 3495296; %SystemRoot%\13953496.exe [X]
S2 3659799; %SystemRoot%\13625816.exe [X]
S2 89262180; %SystemRoot%\28568024.exe [X]
Pour en être sur , il faut relancer un scan FRST pour vérifier qu'ils ne reviennent pas après le fix
Emsisoft Anti-Malware --> Risque de conflit avec McAfee
Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin --> Très très obsolète , une porte ouverte aux attaques : http://get.adobe.com/fr/flashplayer/about/
Java 7 Update 17 --> Idem flash
Mozilla Firefox 36.0.4 (x86 en-US) --> Version ancienne , à désinstaller car ne sert pas.
**************************************************************************
Pour le fix , pas de pilote nuisible . Reste comme à chaque fois : (un scan 3 mois serait pet être utile ici)
Citation :
S2 14620554; %SystemRoot%\14150104.exe [X]S2 1744278; %SystemRoot%\20769240.exe [X]
S2 3495296; %SystemRoot%\13953496.exe [X]
S2 3659799; %SystemRoot%\13625816.exe [X]
S2 89262180; %SystemRoot%\28568024.exe [X]
Pour en être sur , il faut relancer un scan FRST pour vérifier qu'ils ne reviennent pas après le fix
-
Répondre à Misterybean
m
0
l
