Bonjour,

Voilà infection par l'autorun d'une clé USB, début d'attaque par W32/Worm.sdbot!be puis processus mxqs.exe par dizainne décelé par tcpview: Résultat bande passante très faible, impossible de supprimer ces processus clônes qui ouvre des connections en pagaille. De plus exécutable au noms trsè curieux à la racine de c:/ du genre "s3a12q6l7V3.exe"'

3 ordinateurs infectés par cette clé sur un parc de 10 environs!


Merci pour votre aide!

Connection sur:
- magicshellsnet.digitalswift.net
- ubiquityservers.com (je pense que ce sont les serveurs du module du même nom de firefox)
- spynettest

Etat dans TCPview:

SYN_SENT


Au secours!



PS: Merci de corriger le titre dizaine ne perned qu'un "n" mais je n'ai pas la main pour éditer mon premier post!

bonjour Koolou,
c'est un gros morceau....
mes connaissances en désinfection sont encore limitées, en faisant quelques recherches j'ai trouvé ceci pour vos soucis
appliquez la procédure compléte sur chaques pc infectés qu'il faudrais isoler de votre parc sous peine de contaminer tout le park


http://www.malekal.com/Win32.Sdbot.php

Si toutefois, cela ne résoud pas votre problême, je vous conseillerai une prise en charge par l'equipe securité du forum Sécurité de PCAstuces

http://forum.pcastuces.com/default.asp

pour créer un compte sur PCAstuces

http://forum.pcastuces.com/enregistrement.asp

cordialement et bon courage

ok merci je test ça en revenant au boulot (parc protégé par Mc Afee... )


Je vais télécharger via un post non infecté car via les 3 infectés impossibles à cause de la bande passante réduite à néant et les coupures pures et simples des connections, Marrant que les admin de notre boite ne voient rien passé


J'ai réussi sur mon poste à isoler le fichier "mxqs.exe" via un firewall télécharger à l'arrache dont je tairais le nom ici. Tout ce que j'ai entrepris pour le moment est resté sans résultat....


Par contre les autres PC sont sain j'ai vérifié avec tcpview, on dirait que ce virus backdoor ce propage uniquement via la clé USB incriminée et détruite, même formatée elle a infecté le miens?!?


Je file au boulot


@+

Bon courage, vous avez du boulot en perpective....
verifiez aussi votre pc personnel et brulez cette clé Usb de m e

Cordialement

visiblement des collègues d'une autre ville ont récupéré cette saloperie et il ont pu l'éradiquer avec kaspersky....

Symptôme:

qxms.exe ouvre X connections et n'est pas sensible aux kill process il revit de ses cendres...


j'installe kaspersky 2010 en version d'éval ici pour voir....

Si Kaspersky arrive a éradiquer ce Ver, car c'est bien un ver....alors Bravo, car cette infection est une tuerie,

je suis allé voir sur les Tools de désinfections Kaspersky, il n'est pas recensé...cela voudrais dire qu'une version commerciale peut le tuer
le produit peut s'installer sur un pc infecté.....Mais j'ai peur que la connexion internet soit coupé lors de la mise a jour de kaspersky

Il faudrait démarrer avec un rescueCD, que vous créez a partir de l'image Iso gravée sur un CD et en programmant dans le bios=> un boot sur le lecteur CD/DVD

Vous serez dans un environnement ou Windows est inactif, donc le ver aussi.....et la vous pouvez l'avoir...je pense

Kaspersky Internet Security propose la création d'un disque de dépannage.

Le disque de dépannage est prévu pour le contrôle et la réparation des ordinateurs (compatibles x86) infectés. Il est utilisé lors de tel degré d'infection, quand il n'est pas possible de réparer l'ordinateur par les applications antivirus ou par les utilitaires de réparation (par exemple, Kaspersky AVPTool), lancés sous le système d'exploitation. Avec cela, l'efficacité de réparation est augmentée grâce au fait que les programmes malveillants dans le système ne reçoivent pas d'administration pendant le démarrage du système d'exploitation.

Le disque de dépannage est créé à la base du noyau du système d'exploitation Linux et représente le fichier .iso qui inclut :

-les fichiers de système et de configuration Linux ;
-un ensemble d'utilitaires pour le diagnostic du système d'exploitation ;
-l'ensemble d'utilitaires auxiliaires (le gestionnaire de fichiers, etc.) ;
-les fichiers Kaspersky Rescue Disk ;
-les fichiers contenant les bases antivirus.
-Le démarrage de l'ordinateur avec le système d'exploitation endommagé peut être effectué du périphérique CD/DVD-ROM. Pour cela le périphérique correspondant doit être installé sur l'ordinateur.

Afin de créer le disque de dépannage, procédez comme suit :

-Ouvrez la fenêtre principale de l'application.
-Dans la partie gauche de la fenêtre sélectionnez la section Utilitaires+.
-Cliquez sur Disque de dépannage afin de lancer l'assistant de création de disque.
-Suivez les consignes de l'Assistant.
-A l'aide du fichier obtenu à la fin de l'Assistant, créez un CD/DVD de dépannage. Vous pouvez utiliser pour ce faire un des programmes d'enregistrement de CD/DVD tel que Nero par exemple.


Si non il vous reste cette solution

http://www.malekal.com/Win32.Sdbot.php

@+

visiblement cette saloperie bloque les connections réseaux et en l'occurence les mise à jour d'antivirus, il m'isole même de temps à autre de notre réseau d'entreprise....

PC super lent, on dirait que j'ai un Pentium 33 Mhz à la place d'un core!


Ca faisait longtemps que je n'avais pas eu une telle merde! Le dernier en date devais être pendant l'été 2003 je crois.....


j'ai aussi repéré un exécutable MSASCUI.exe pas catholique dans son comportement....

Essayer les solutions ci dessus......l'infection gagne du terrain, et vous risquez d'etre bon pour un formatage de Bas niveau

Voici deux autres solution par CD Boot...aprés celui de Kaspersky

Doc Web et je pense plus adéquate qu'Antivir...il m'a d'ailleur déja bien servi

http://forum.pcastuces.com/analyse_antivir...e_cd-f31s36.htm

bon j'ai lancé péniblement hijackthis (eh oui la saloperie se défend bien) puis repéré la clé de registre contenant le lancement du service "mgxqs.exe" ensuite redémaré en mode sans échec avec active directory.

Puis scan avec bitdefender 2009 qui m'a trouvé:

C/:windows/system32/driver/mgqs.exe infecté par trojan.Agent.ANCU
et
C/:windows/system32/driver/mxqs.exe infecté par trojan.Agent.ANCU

Je vais essayé de désinstallé bitdefender et mc afee de m*** pour installer KIS 2010 en eval le seul hic est la mise à jour bloqué....


PS: les connections ftp sont bloquées sur notre intranet, super les admin!!!! C'est pour cette raison que je n'ai pu utiliser les outils doctor web

cette merde, vous laissera pas faire la mise a jours,d'ou l'importance du CD ou d'un outils portable comme celui ci http://ftp.kaspersky.com/devbuilds/AVPTool/
Ou alors ( je sais , je me répéte)vous télécharger une iso d'un poste sain ,celle que vous voulez parmi
Doc Web
Antivir
ou mieux kaspersky dont la derniere Iso est du moi de mai, se trouve ci dessous

http://ftp.kaspersky.com/devbuilds/RescueD...rescue_2008.iso

ensuite vous graver l'iso, et vous lancez donc un CD avec ses bases virales, plus besoin de connection internet sur les pc infectés

Edit. si en plus les administrateurs s'y mettent

je te repète que les connections ftp sont bloqués ici et ta solution live cd était plus que séduisante....

j'ai réussi à téléchargé avptools je lance



Ps: Australien j'avais tout compris mais pas tous les outils pour bien faire ici, merci pour ton aide....


A suivre....

oups...nos message se croisent

aprés AVPTool,
a la place de l'Iso, on as une .exe que vous pouvez lancer a partit d'une clé usb

http://www.freedrweb.com/cureit/

Puisque l'Iso c'est pas bon,
Cette merde......il faut l'avoir par un support amovible et en MSE

Pas de problême Koolou,
je devine que tu maitrises, j'ai quelques liens utiles, au cas ou....tu va l'avoir cette merde

Yo,

le 'cureit' clairement mon 1re choix. Sinon dans ton cas, tu peux télécharger à la maison l'avptool de kl et l'unzipper au taf ftp://ftp.kaspersky.com/devbuilds/AVPTool/ . C'est toujours une beta, le developpement n'ayant jamais été au finish, mais ça vaut la peine de l'installer. Tu devrais avoir les définitions à jours avec.

bonsoir Ren,
vous confirmez et donnez des liens déja fournis
bonne soirée

Re,

c'est ça de lire entre les lignes ^^ désolé.

Ne soyez pas désolé mon cher Ren, un homme averti en vaut deux....

Le silence de Koolou m'inquiéte par contre....car il est tombé sur un gros morceau avec cette vermine, de plus j'ai peur que son parc informatique soit touchés

déja trois pc sur 10....
@+

yo les mecs,


3 pc désinfecté à la boite avec cure IT + hijackthis pour virer les clés dans la base de registre relatives aux deux exécutables cités plus haut+ fileassassin qui rend de bon service pour visualiser les exe invisible par ailleurs....

Je prépare un lice CD à la maison cad d'où j'écris là pour faire demain matin un petit scan de parano au cas où les pc ne serait pas totalement déverminé!

Par contre tcpview m'a rendu de bons services.... j'ai lancé ce bon programme après dévermingae et plus de connexions dans tous les sens... Mon PC du boulot est devenu une F1 mais je garde en surveillance les 3 PC qq jours...






PS: un collègue à envoyer un mail avec des plans dans l'autre agence et leur à filer la saloperie^^

Excellent, tu as fait un super Job

attention malgrés tout aux résidus de la vermine...Hijackthis ne voit pas tout!
si tu veux edites moi un rapport RSIT (plus complet) pour chacun des 3 pcs infectés, je regarderai....

http://forum.pcastuces.com/randoms_system_...rsit-f31s31.htm
@+

ok je ferais ca demain matin je vais enfin manger un peu tout en preparant mon live CD de la mort....


Merci Australien et les autres!

Bon appêtit l'ami.....et bon gravage (j'ai moi même le CD de Doc Web dans ma caisse a outils),
je le préfére car tu peux le mettre a jours sans avoir besoin de regraver une Iso récente

a demain

et comment l'iso peut se mettre a jour sans RE gravage? je suis curieux de savoir mi amigo!

en fait tu graves une fois l'iso et le scanner se connecte ensuite a ta demande pour faire sa mise a jours si la connection le permet,
mais tu peux mettre a jours d'un autre pc

voila ce que je fait depuis quelques mois,

Si je dois intervenir sur un pc,
je met le cd gravé a partir de l'Iso dans mon lecteur.... je le lance au boot a partir du lecteur, je fait la mise a jour et quand c'est fait...j'ejecte le cd et je vais sur le pc infecté faire la peau aux intrus


sur lien que je t'ai fournis précédemment Analyse par Live CD

tu peux lire ceci pour Doc Web

L'intérêt de ce logiciel réside dans les deux points suivants:
-Analyse et désinfection possible d'un système bloqué par un virus
-Mise à jour possible du scanner ce qui rend l'utilisation du CD durable.

ok ce qui veux dire que la MAJ se faire sur le DD et création d'un répertoire spécial automatique via le live CD!?!

ingénieux... demain j'attaque pour finir le boulot


Merci pour ta disponibilité écoute et conseil et travail


bonne nuit



a demain en direct de beyrouth^^

tu lances le cd




défilement




la partie mise a jours c'est là



ensuite tu laisse faire



ensuite tu cliques a la fenetre eject et stop

tu prend ton Cd de la mort ,
tu vas sur les pcs, tu Boot sur le CD et dans la premiere fenêtre de Doc Web, tu passe en Safe mode et tu lances un Start Dr Web Scanner, le scan est trés long!!!

ton Windows sera inactif, c'est mieux.

bonne nuit

Voilà ce que donne le lien pour télécharger RSIT.exe??????????


High security alert!!!
You are not permitted to download the file "RSIT.exe" because it is infected with the virus "PossibleThreat".

URL = http://images.malwareremoval.com/random/RSIT.exe

File quarantined as: .

http://www.fortinet.com/ve?vid=62183

bonjour

Comme tout les Tool spécifiques...
en particulier celui là car il fait le tour de tout le pc!!!!

voici ce qu'il peut arriver aussi avec le GSI dont tout le monde se sert ICI



ce outils est utilisé depuis des lustres, tu fait comme tu veux

Voici l'analyse virustotal moins de 10 % de détection, 4 antivirus sur 41......et ne parlons pas de la qualité des antivirus qui le détecte

File RSIT.exe received on 2009.07.10 07:47:54 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.07.10 -
AhnLab-V3 5.0.0.2 2009.07.09 -
AntiVir 7.9.0.204 2009.07.10 -
Antiy-AVL 2.0.3.1 2009.07.10 -
Authentium 5.1.2.4 2009.07.09 -
Avast 4.8.1335.0 2009.07.09 -
AVG 8.5.0.387 2009.07.09 -
BitDefender 7.2 2009.07.10 -
CAT-QuickHeal 10.00 2009.07.10 Backdoor.Rbot.ackz
ClamAV 0.94.1 2009.07.09 -
Comodo 1601 2009.07.10 -
DrWeb 5.0.0.12182 2009.07.10 -
eSafe 7.0.17.0 2009.07.09 Suspicious File
eTrust-Vet 31.6.6606 2009.07.09 -
F-Prot 4.4.4.56 2009.07.09 -
F-Secure 8.0.14470.0 2009.07.10 -
Fortinet 3.117.0.0 2009.07.03 PossibleThreat
GData 19 2009.07.10 -
Ikarus T3.1.1.64.0 2009.07.10 -
Jiangmin 11.0.706 2009.07.09 -
K7AntiVirus 7.10.788 2009.07.09 -
Kaspersky 7.0.0.125 2009.07.10 -
McAfee 5671 2009.07.09 -
McAfee+Artemis 5671 2009.07.09 -
McAfee-GW-Edition 6.8.5 2009.07.10 -
Microsoft 1.4803 2009.07.10 -
NOD32 4230 2009.07.10 -
Norman 6.01.09 2009.07.09 -
nProtect 2009.1.8.0 2009.07.10 -
Panda 10.0.0.14 2009.07.09 -
PCTools 4.4.2.0 2009.07.09 -
Prevx 3.0 2009.07.10 -
Rising 21.37.41.00 2009.07.10 -
Sophos 4.43.0 2009.07.10 -
Sunbelt 3.2.1858.2 2009.07.10 -
Symantec 1.4.4.12 2009.07.10 -
TheHacker 6.3.4.3.363 2009.07.08 -
TrendMicro 8.950.0.1094 2009.07.10 -
VBA32 3.12.10.8 2009.07.10 -
ViRobot 2009.7.10.1828 2009.07.10 -
VirusBuster 4.6.5.0 2009.07.09 Trojan.Klone.BAA


bon je pars en week end

bonne journée

Je n'ai aucun lien pour télécharger RIST à part celui que tu m'as donné!




Comment un clé USB fraichement formatée à pu contaminée mon PC?

Alors que j'ai installé:
USBVaccine de panda
Bitdefender autorun blocker

il n'y a pas d'autres liens, celui fournis est le lien direct....
je pars en week end, en fin de matinée

pour ton pc, tu m'avais pas dis qu'il était infecté

Pas celui de chez moi mais celui du taf^^

Par contre quand j'ai mis la clé USB chez moi, direct KIS 2010 m'a demandé de la scanné et a trouvé le backdoor dans le répertoire caché "quarantine" de cette même clé... Par contre impossible de supprimer ce backdoor de la clé, je vais la formater pour voir!

voilà après avoir désinstallé ce satané Mac afee et installer l'honorable jis 2010 ci-dessous les résidus des dégâts occasionnés:

merci pour VaccinUSB:

bonjour,

decidement....j'ai l'impression que vous ne faites pas confiance a des softs que tout les groupes securité proposent depuis des lustres

il faut lire sur la page ou vous étes allez télécharger VaccinUSB ....donc ceci est normal

Citation

Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :



que vous dire de plus

cette fois ci je pars vraiment en week end

hello,


Je t'ai mis rsit renommé en logi.exe
télécharge le et poste le rapport, cela sera plus facile pour y voir plus clair
http://www.sendspace.com/file/ngb1g4

ensuite clique sur le lien Download Link: logi.exe

voilà même sur le serveur de sendspace:






Cette alerte est peut être dû au firewall des serveurs de ma boite, j'essaierai de chez moi ce soir



Merci affaire à suivre




PS: live CD excellent au fait! Je garde^^