[Résolu] Malware Ukash

[Astaroth]

Bonjour,

Comme le titre l'indique il semblerait que je sois infecté par un malware du nom de " Ukash " se présentant sous la forme à priori d'une page Internet Explorer bloquant tout accès à son bureau... Celle-ci étant soi-disant un message de la gendarmerie nationale vous stipulant que votre ordinateur est bloqué dorénavant et ceci jusqu'à avoir payé la somme de 100 euros par voucher ( dans un français approximatif ^^ )

J'ai donc dû éteindre l'ordinateur à la sauvage et redémarrer en mode sans échec ou j'ai pu avoir accès au bureau, et télécharger MalwaresBytes, avec lequel j'ai fais une recherche rapide. Celui-ci a détecté 4 malwares que j'ai supprimé. Et à priori maintenant tout fonctionne comme avant. Cependant n'étant sur de rien je viens donc vous demander votre aide s'il-vous-plait.

Ce qui est étonnant c'est la facilité avec laquelle cette attaque est passée à travers toutes les défenses de mon ordinateur, qui sont pourtant à jour pour la majorité il me semble... Qui plus est sur un site de série en streaming ou je n'ai jamais eu de soucis...

Voici le rapport Mbam :

Malwarebytes Anti-Malware 1.62.0.1300
http://www.malwarebytes.org

Version de la base de données: v2012.07.28.06

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
Propriétaire :: CAS-LIBRE [administrateur]

28/07/2012 21:38:17
mbam-log-2012-07-28 (21-41-46).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 193766
Temps écoulé: 2 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\Propriétaire\0.10364892226023648.exe (Trojan.Ransom) -> Aucune action effectuée.

(fin)

[MoJac]

Bonjour Astaroth,

Celui-ci a détecté 4 malwares que j'ai supprimé.

- Sauf si tu as fait un autre scan avec suppression, cela ne semble pas être le cas d'après le rapport fournis:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Aucune action effectuée.
...

- Refais, au besoin, un nouveau scan avec MbAM et poste le rapport (si des malwares sont trouvés coche "supprimer"), cela aura pour efet de relancer la machine.

Pour contrôle refais ces 2 autres analyses:

Télécharger sur le bureauRogueKiller (by tigzy)

• Quitter tous les programmes
• Lancer RogueKiller.exe (clic droit et "exécuter en tant qu'administrateur" si tu es sous Vista/Sept).
• Attendre que le Prescan ait fini ...
  
• Cliquer sur Scan (et uniquement sur scan pour le moment). Cliquer sur Rapport et copier coller le contenu du notepad

Télécharge ZHPDiag2.exe - suivre le lien en bas de page.

• Enregistre le sur ton bureau
• Une fois le téléchargement achevé,fais un double clic sur ZHPDiag2.exe (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept).
• Suis les instructions à l'écran.
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• l'outil a créé 3 icônes: ZHPDiag, ZHPFix et MBRCheck.
  
  
• Double clique sur le raccourci ZHPDiag sur ton Bureau (ou clic droit Exécuter en tant qu'administrateur si tu es sous Vista/Sept)..
• Clic sur la loupe en haut à gauche pour lancer l'analyse.
• Une fois terminé , le rapport s'affiche : Enregistrer ce rapport sur ton bureau grace à un clic sur la disquette :
  
• Le rapport est assez volumineux, met le en pièce jointe:
  
  - Va en fin de message et suis les indications:
  
  
  
• NB: Le rapport se situe aussi sous C:\ZHP\ZHPDiag.txt

A plus

[Astaroth]

Bonjour Mojac,

Au temps pour moi, j'ai posté le mauvais log...

Malwarebytes Anti-Malware 1.62.0.1300
http://www.malwarebytes.org

Version de la base de données: v2012.07.28.06

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.6001.18702
Propriétaire :: CAS-LIBRE [administrateur]

28/07/2012 21:38:17
mbam-log-2012-07-28 (21-38-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 193766
Temps écoulé: 2 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dnvlplpwbygbkoi (Trojan.Ransom) -> Données: C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\All Users\Application Data\dnvlplpw.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Propriétaire\0.10364892226023648.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.

(fin)

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Propriétaire [Droits d'admin]
Mode: Recherche -- Date: 29/07/2012 11:04:50

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[25] : unknown @ 0x805BC538 -> HOOKED (Unknown @ 0xBA6F15E4)
SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xBA6F159E)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA6F15EE)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA6F1594)
SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xBA6F15A3)
SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xBA6F15AD)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA6F15DF)
SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xBA6F15B2)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA6F1580)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA6F1585)
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (Unknown @ 0xBA6F1607)
SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xBA6F15BC)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xBA6F15F8)
SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xBA6F15B7)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA6F15F3)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xBA6F15FD)
SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xBA6F15A8)
SSDT[255] : NtSystemDebugControl @ 0x80617FAA -> HOOKED (Unknown @ 0xBA6F1602)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA6F158F)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)
IRP[IRP_MJ_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)
IRP[IRP_MJ_SYSTEM_CONTROL] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)
IRP[IRP_MJ_DEVICE_CHANGE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB9E0EB40)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 http://www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 http://www.008k.com
127.0.0.1 008k.com
127.0.0.1 http://www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 http://www.032439.com
127.0.0.1 032439.com
127.0.0.1 http://www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 http://www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 http://www.10sek.com
127.0.0.1 10sek.com
127.0.0.1 http://www.123topsearch.com
127.0.0.1 123topsearch.com
127.0.0.1 http://www.132.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600AAJS-00WAA0 +++++
--- User ---
[MBR] b84293176c704b504ef83137bbaced7c
[BSP] af395fbc84b6649afc731914263f1b98 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST3250820AS +++++
--- User ---
[MBR] 0c7d73b03c3a9dbd3c288e9d872fcb3a
[BSP] 0b89dff4a7c1d4dc60e9b19386c240d9 : TestDisk MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

[MoJac]

Bonjour Astaroth,

Ok, le rapport Roguekiller ne montre pas de dégâts apparents supplémentaires ... MbAM a donc bien fait son boulot.

- Une première remarque cependant à propos de la face cachée des ransomwares (c'est assez technique, mais l'essentiel est compréhensible par tous ...):
http://internetpol.fr/wup/?Police+Ranso ... 97d947519f

En particulier:

La majorité des rapports que nous avons compulsés jusqu'à maintenant ne mentionnent pas ou peu ces puissants composants cryptés téléchargés et installés par certains rançongiciels policiers ; ils sont capables de dérober instantanément d'importantes quantités d'identifiants issus d'une myriade de logiciels. Comme si finalement ces interfaces qui bloquent vos ordinateurs n'étaient qu'une façade (lucrative tant qu'à faire) visant à vous faire oublier les activités qui se déroulent en tâche de fond.

- Tout ça pour dire qu'il faudra être attentif dans les semaines qui viennent si tu fais des achats sur Internet et surveiller très attentivement ton compte (y compris pour de petites sommes).
- Entendons nous bien; nous sommes au stade de prudence, il ne s'agit pas de se jeter partout: tous les ransomwares ne sont pas piégés: il faut être prudent et attentif c'est tout.

- Autre remarque:

System drive C: has 2 GB (1%) free of 149 GB

Là il faut absolument faire quelque chose et libérer de la place sur ton disque C: sinon la machine va planter ...
Je te propose en première urgence de supprimer tes fichiers temporaires et autres caches de navigateur:
Ce logiciel ne s'installe pas

TéléchargeATF-Cleaner
Double-clique sur ATF Cleaner afin de lancer le programme.

a) Si tu utilises le navigateur Internet Explorer :
* Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

b) Si tu utilises le navigateur Firefox :

* Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
Note : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

c) Si tu utilises le navigateur Opera :

* Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
Note : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

- Ensuite refais un scan avec ZHPDiag et vérifie où tu en es au niveau place disque (c'est au début du rapport)

- Nous allons mettre à jour Java (Version 7 Update 5 ) et en profiter pour faire un peu de ménage - si besoin:

Utiliser, obligatoirement, Internet Explorer pour téléchargez (sur le Bureau) la dernière version: 32 bits en ce qui te concerne.




• Avant l'installation supprime toutes les anciennes versions parce qu'elles peuvent contenir des vulnérabilités de sécurité.
• Clique sur "Démarrer" => "Panneau de configuration" => "Ajout/ Suppression de Programmes".
• Cherche dans la liste les lignes concernant Java J2SE Runtime Environment et éventuellement Java(TM) X Update Y.
• Sélectionne une ligne à la fois et clique sur Supprimer.
• Quand il n'y en a plus, ferme le panneau de configuration et installe la nouvelle version en cliquant sur le fichier qui a été téléchargé sur le bureau.
• Ensuite clique sur "vérifiez que Java a été correctement installé. " pour s'assurer que tout est OK

- Faire la vérification pour chaque navigateur. Pour ce qui est de FireFox et Opera normalement après l'installation lors du premier démarrage tu devrais avoir un avis te demandant l'autorisation d'installer Java sur ce navigateur, ce qu'il faut bien sûr accepter.

A plus

[Astaroth]

Bonjour Mojac,

J'ai fait tout ce que vous m'avez dit, et pour le moment je n'ai pu libérer que une vingtaine de gigas, en espérant que cela sera suffisant dans un premier temps.

En ce qui concerne Roguekiller, je peux le supprimer directement en le mettant à la corbeille, puisque à priori il n'a pas besoin d'être installer ?

Voici le rapport ZHP au cas ou.

[MoJac]

Bonjour Astaroth,

- Ok, tout semble normal actuellement. Attention à veiller à maintenir l'espace disponible sur C: \ dans ces eaux là au minimum ...

- Il y a eu beaucoup de victime de streams piégés ces temps ci, ce genre de truc est difficile à stopper par les antivirus, donc prudence. te souviens tu du site où tu as choppé ça ? (il semble y en avoir plusieurs, mais pas énormément et ne semblent plus actifs)

- Pour roguekiller tu peux éliminer l'exécutable ainsi que l'éventuel dossier en relation qui se trouve sur le bureau.

Les conseils prodigués lors de la dernière intervention sont toujours d'actualité.

Bon surf