Discussion :

[Trebly]

Bonjour,

Je me bats depuis plus d'un mois avec ce qui serait un trojan.
Il ressemble au "Trojan.Siggen4.27812" ou du moins baptisé ainsi sur le site "Dr.web http://www.drwebhk.com/en/virus_tech...en4.27812.html".

La configuration sur laquelle le problème est apparu n'utilise pas de proxy déclaré.
Je ne connais pas l'effet sur une machine avec proxy déclaré.

Au démarrage ou au réveil la "routine" (que je n'ai pas trouvée) modifie les variables de sous clefs "Internet Settings" (partout) : proxyserver, proxyenable, et la valeur par défaut de la sous clef "ManualProxies".

Manifestations
Ceci a deux effets suivant les circonstances :

1. Après un démarrage tout accès à un réseau via les protocoles internet est impossible
2. Si une connexion est déjà établie et que les valeurs sont modifiées par la routine dans la bdr, c'est l'écran bleu et le dump et les dégâts possibles suivant les opérations en cours lorsqu'un essai d'accès a lieu.
3. Si l'on arrive à démarrer (voir plus loin) la machine reste anormalement lente

En conséquence lors d'un démarrage qui établit (prépare) des connexions internet (tout http, https... et ftp) via un navigateur ou tout autre connexion internet (dont updates etc...) avant que la routine agisse, ou bien en sortie de veille (qui restaure la configuration courante opérationnelle des soft) c'est l'écran bleu en boucle assuré (quand le système ne demande pas à tout vérifier avec raison au redémarrage et sur une machine avec 2To de disques c'est parti pour une vingtaine d'heures...)


Pour contourner et réparer voire travailler un peu (mais risqué) il faut

1. empêcher toute connexion réseau au démarrage
2. modifier par le panneau de configuration le paramètre proxy de configuration internet (onglet connexions)

Dans certains cas, en particulier après l'écran bleu à la sortie de veille, il est évidemment (le plus souvent) impossible de redémarrer sans passer par le mode sans échec (dans ce cas la modification des paramètres internet devra se faire soit via un navigateur soit directement sur la DbR).

Les clefs modifiées (toutes les clefs repérables dans la DbR, évidemment la correction d'un HKeyLocalMachine ou HKeyCurrentUser modifiera dynamiquement d'autres valeurs de la ruche)

Les valeurs affectées sont :
- Pour les clefs "Internet Settings"

• ProxyEnable == [1]
• ProxyServer == [ http=127.0.0.1:8877;https=127.0.0.1:8877 ]

Pour la clef "ManualProxies"
(default) 1http=127.0.0.1:8877;https=127.0.0.1:8877

Les clefs modifiées sont (les valeurs figurent après le signe non conventionnel ==> puis ==)

HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default) == 1http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default) == 1http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default)== 1http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

Toutes les clefs de masque
HKEY_USERS\S-1-5-xx\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877

A noter que TeamViewer semble utiliser de manière normale :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer\Version8 ==> ProxyAutoList == 127.0.0.1:8877;;
(faux positif)

Tentative de remède en changeant simplement les valeurs de la BdR :
Si l'on soigne toutes les clefs, la machine retrouve au premier redémarrage un allant normal.
Après un passage en veille ou un redémarrage les valeurs effacées sont restaurées (tout ou partie, je n'ai pas eu le temps de contrôler à chaque fois...)

Recherche avec les outils classiques :

1. Mon AV : GDATA ne voit rien. Le support est paumé se borne à me dire qu'un démarrage en mode sans échec élimine les trojan... et ne fait aucun effort.
2. MalwareBytes ne voit rien non plus (du moins pas ça)
3. Ad-remover ne voit rien de plus
4. Le traitement recommandé par Dr.Web... n'a pas réglé le problème
5. Pour CCleaner rien d'anormal : c'est normal les clefs sont cohérentes
6. RoggeKiller ne voit rien
7. ms SCERT : voit 6 "éléments" (après 5heures) mais n'établit aucun rapport de menace, cependant il passe les correction de BdR
8. et voilà je suis sec et en panne depuis plus d'un mois...
   Mea Culpa j'aurais du demander de l'aide ici plus tôt (en fait je me rend compte que je me suis mis dans la peau d'un simple utilisateur...)

Il y a pas mal d'Items sur divers forums utilisateurs (mots clefs "proxy" "8877").

Rien de précis permettant d'avancer.

Merci d'avance de votre aide.

Trebly

[Trebly]

Bonjour,

Quoique que personne n'ait répondu, ce qui malgré le nombre plutôt important de mails sur divers forum et de pages concernant le traitement de ce problème finalement très sévère quant à ses conséquences... est un peu étonnant, voici une solution manuelle qui marche (jusqu'à preuve du contraire) et une explication.

Le fait qu'il s'agisse d'un trojan n'est à mon avis pas clairement établi, qu'il s'agisse des conséquences d'un soft espion trop ambitieux mal écrit, buggé, à conséquences assez terribles et assez probable. L'intention malveillante n'est pas vraiment établie, l'espionnage de sites commerçants est certain lui.

Le problème d'origine est un soft de téléchargement "optimisé" : edownloader ; editeur AdverNet

Il va installer le logiciel nommé "notation" qui va fabriquer une base de données de vos connexions vers des sites marchands et transmettre les données correspondantes. A cette occasion il met en place de manière probablement cachée et temporaire un proxy, ce dernier soit bogue soit ne plait pas à votre firewall et l'anomalie décrite se manifeste (valeur par défaut bloquante pour "proxyserver"). Les conséquences des plantages décrits dans mon premier mail peuvent être catastrophiques.

Pour éradiquer il faut (c'est sensiblement ce que propose Dr.Web, mais ne semble pas toujours fonctionner, au moins dans mon cas et probablement incomplet):
NB: s'applique au cas ou vous n'utilisez pas de proxy, si tel est le cas iadaptez ou après redémarrage paramétrer via le panneau de configuration.

1. Eliminer (ou pour travailler en deux phases renommer) toutes les instances de ProxyServer http=127.0.0.1:8877;https=127.0.0.1:8877
2. Eliminer (ou pour travailler en deux phases renommer) toutes les instances de clefs .../ManualProxies ==(default) 1http=127.0.0.1:8877;https=127.0.0.1:8877
3. Eliminer (ou pour travailler en deux phase renommer) toutes les instances faisant référence au GUID {29633E53-BF13-41B5-9E10-19D7843BD9C3} (dont le clef principale d'identification définie par Advernet ne montre pas d'intention malveillante et de tentative de dissimulation, pourtant... renommer tj pour garder trace en {29633E53-BF13-41B5-9E10-19D7843BD9C3}.bad.trj par exemple)
   mais aussi tel :
   HKEY_CURRENT_USER\Software\FLEXnet\Connect\db\{29633E53-BF13-41B5-9E10-19D7843BD9C3}.ini
   sera renommé (pour garder provisoirement trace) en
   HKEY_CURRENT_USER\Software\FLEXnet\Connect\db\{29633E53-BF13-41B5-9E10-19D7843BD9C3}.ini.bad
4. Changer toutes les instances de valeur ProxyEnable (1) remplacer (hex) par 0 ProxyEnable (0)
5. Supprimer ou renommer ou déplacer+renommer le répertoire :
   [system]:\Program Files (x86)\Notation
   par exemple C:\Program Files (x86)\Notation.bad
6. Supprimer ou renommer ou déplacer+renommer tous les répertoire (un par user) tel :
   C:\Users\[user]\AppData\Local\Notation
   ces répertoires contiennent la base de configuration et d'historique de connections du user
   renommé provisoirement par exemple C:\Users\[user]\AppData\Local\Notation.bad
7. Supprimer ou renommer ou déplacer+renommer les répertoires :
   [system]:\Users\[user]\AppData\Roaming\Advernet
8. enfin très important désactiver (désinstaller) les "services" de nom "notation*"
9. redémarrer

Voilà, bonsoir

Cordialement

Trebly

NB: Validité : pour l'instant je touche du bois, l'activation proxy n'est pas revenue sur la machine depuis deux semaines. La question sera marquée "solution" dès que sfc ne me donnera plus d'anomalies qui pourraient être en relation avec cette question.
Les dégâts occasionnés lors des plantages ne sont pas encore tous réparés donc il n'est pas possible d'être sur de ne pas avoir laissé trainer un service de nom folklorique par exemple ou des changements de noms de fichiers ou enfin des données dans la bdr ne correspondant pas aux clefs de recherche utilisées ni aux fils touvés.

A noter que le soft se cache tout de même parce que la "recherche" de "notation" par l’explorateur en mode administrateur ne montre pas d'occurrences au départ... par contre on y accède en ouvrant les dossiers manuellement.
Enfin tout semble géré via le GUID, aucune reférence claire aux services, .dll , exécutable trouvée dans la bdr.

[hackoofr]

complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :

• Les adware (programmes publicitaires)
• Les PUP/LPIs (programmes potentiellement indésirables)
• Les toolbar (barres d'outil greffées au navigateur)
• Les hijacker (détournement de la page de démarrage)

Adwcleaner dispose d'un mode recherche et d'un mode suppression.
Si vous avez fait le mode recherche il faut alors passer au mode Suppression
Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Puis exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse aussi

[Trebly]

Bonsoir,

Aucune manifestation qui puisse apparaitre comme directement liée à une anomalie résiduelle n'est apparue depuis mon dernier message.

Par contre il y a eu des dégâts à cause des crash répétés dus à des problèmes de structure de fichiers.
sfc signale des incohérences de structure de fichiers.
Il apparait encore des écrans bleu dont l'erreur est toujours une incohérence de structure de fichiers et qui résiste encore aux réparations.
Une réparation Windows très sérieuse et méticuleuse s'impose.
Si la réparation, en cours, ne donne rien (pas de stabilisation complète) il faudra que je me résolve à une réinstallation complète malheureusement extrêmement couteuse en temps et en frais.
En effet par expérience la réinstallation complète vécue sept ou huit fois en vingt ans (comportant aujourd'hui l'ensemble Eclipse, plusieurs machines virtuelles XP -sous Win7 pro -, Apache et Mysql, MysqlServer, les versions de développement Java 32 et 64 bits, GIT, SVN Tortoise, Teamviewer, quatre navigateurs une grande quantité d’utilitaires et enfin des outils de traitement multimédia - montage de documents et videos) avec 250Go de partition système et 1To de disques courants + la gestion de sauvegardes sur 5To (3+2) + archives..., pose toujours d'énormes problèmes.

C'est un changement de disques et trois à quatre mois avec les anciens disques en ligne pour récupérer ça et là des paramètres et/ou pratiquer et/ou des réinstallations d'environnements de travail.
Le redémarrage lui c'est un à deux jours maximum, mais pas pour toutes les fonctionnalités, loin de là.
C'est donc un sinistre majeur que je viens de vivre.

Un problème posé important est : quand faut-il s'arrêter de travailler en cas d'anomalies pour préserver au mieux son environnement ?. Il n'est pas toujours possible de la faire quand il serait nécessaire même si on le sait. Pendant cette phase la productivité chute considérablement.
La restauration est parfois impossible parce que entre l'infection et les premiers dégâts constatables il s'écoule parfois plusieurs mois irréversibles, tellement la séparation système, soft et données est difficile sur le moyen terme.

L'ensemble des antimalware et antivirus dont en l’occurrence GADATA pour la surveillance et aussi scan MS complémentaire MS msert sans oublier tous les autres bien connus cités dans ce thread notamment ne donnent aucune anomalie.

Voilà, je clos le sujet.

Bien cordialement

Trebly