Sinowal avec Virus Gendarmerie par malversiting clicksor

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Depuis un peu plus d'une semaine, la malvertising clicksor qui installe le virus gendarmerie lance aussi un autre exploit sur site WEB qui conduit  une infection Sinowal.

Si l'infection du virus gendarmerie est loin d'être discrète, Sinowal lui l'est.
Sinowal est un stealer qui vise les sites de banques (Trojan.Banker) et se charge au niveau du MBR et donc peu de programmes sont capables de le détecter.

L'exploit sur site WEB  qui charge l'infection :

regsrv32.exe qui enregistre un fichier téléchargé par l'exploit

puis un driver rclbi5.sys est chargé - le MBR est par la suite corrompu.

GMER affiche les lignes suivantes :

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2012-02-28 09:46:06
Windows 5.1.2600 Service Pack 2
Running: v4omn0r8.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys---- Kernel code sections - GMER 1.0.15 ----? RGRCZ@[email protected] Syntaxe du nom de fichier, de répertoire ou de volume incorrecte. !
? C:\WINDOWS\system32\Drivers\PROCEXP141.SYS Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\drivers\ldj98z8.sys Le fichier spécifié est introuvable. !
? system32\drivers\xpsec.sys Le chemin d'accès spécifié est introuvable. !
? system32\drivers\xcpip.sys Le chemin d'accès spécifié est introuvable. !---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[284] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP0T0L0-3 RGRCZ@[email protected]
Device owAZEVAoRGRCZ \Device\Ide\IdePort0 RGRCZ@[email protected]
Device owAZEVAoRGRCZ \Device\Ide\IdePort1 RGRCZ@[email protected]
Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP1T0L0-e RGRCZ@[email protected]

---- EOF - GMER 1.0.15 ----

TDSSKiller le détecte et permet le nettoyage :

AswMBR détecte aussi Sinowal :

Attention dans le cas où Sinowal est présent - Malwarebyte's Anti-Malware ne détecte rien.

De même Antivir ne voit rien :

Avast! détecte MBRoot-J - mais ne nettoye pas.
Notez qu'il faut faire un scan au démarrage pour qu'Avast! détecte Sinowal, dans le cas d'un scan depuis Windows et même complet, il ne verra rien.

Dans le cas où vous avez été confronté au virus gendarmerie, il est vivement conseillé de scanner son ordinateur avec TDSSKiller pour vérifier si le PC n'est pas infecté par Sinowal.
Si vous êtes allé sur le site de votre banque entre le moment où vous avez été infecté et la désinfection, contactez votre banque.

 Après désinfection

Afin de ne plus infecter votre ordinateur  via des  exploits sur site WEB - mettez à jour vos logiciels.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Sinowal avec Virus Gendarmerie par malversiting clicksor mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum