Cette infection utilise des techniques de rootkit, ceci lui permet de se cacher de l’utilisateur mais aussi des autres programmes (y compris les antivirus).
Cette infection a pour but d’envoyer des mails de SPAM.
Un rootkit peut rendre le système instable, il peut provoquer des écran bleus avec le pilotes : lzx32.sys
Ce rootkit génère aussi des erreurs AUTORITE NT / SYSTEM sur le processus services.exe
Détection rootkit pe386 / SpamTool.Win32.Mailbot.AZ
Voir la fiche : http://forum.malekal.com/rootkit-pe386-rustock-t982.html
Le rootkit est détecté par les programmes suivants :
- Combofix
- Gmer
Combofix détecte le rootkit avec le message dans le rapport suivant :
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
Rootkit driver pe386 is present. A rootkit scan is required
Sur Gmer :
—- Services – GMER 1.0.11 —-
Service C:\WINDOWS\System32\lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <– ROOTKIT !!!
—- Registry – GMER 1.0.11 —-
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
……..
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg Registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
………
—- Files – GMER 1.0.11 —-
ADS …
File C:WINDOWS\System32\\lzx32.sys <– ROOTKIT !!!
Suppression rootkit pe386 / SpamTool.Win32.Mailbot.AZ
- Téléchargez ce fix parejvindh sur votre bureau : http://www.uploads.ejvindh.net/rustbfix.exe ou http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe
- Double-cliquez rustbfix.exe afin de lancer l’outil.
- Si une infection Rustock.b est détectée, une invite t’indiquera qu’il est nécessaire de redémarrer l’ordi. Ce redémarrage pourrait être plus long que d’habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
- Suite au(x) redémarrage(s), deux rapports s’ouvriront : (%root%avenger.txt & %root%rustbfixpelog.txt).
- Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
- Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
- Ouvrez le fichier mwavscan.com
- Cochez les options comme indiquées sur cette page
- Cliquez Scan Clean pour démarrer le scan et laissez le scan se faire jusqu’au bout.
- Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
- Redémarrez l’ordinateur
- Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne :
- Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
- Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
- Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThis – mode d’emploi et venez le poster sur le forum du site
Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.
