Bonjour,
Je me bats depuis plus d'un mois avec ce qui serait un trojan.
Il ressemble au "Trojan.Siggen4.27812" ou du moins baptisé ainsi sur le site "Dr.web http://www.drwebhk.com/en/virus_tech...en4.27812.html".
La configuration sur laquelle le problème est apparu n'utilise pas de proxy déclaré.
Je ne connais pas l'effet sur une machine avec proxy déclaré.
Au démarrage ou au réveil la "routine" (que je n'ai pas trouvée) modifie les variables de sous clefs "Internet Settings" (partout) : proxyserver, proxyenable, et la valeur par défaut de la sous clef "ManualProxies".
Manifestations
Ceci a deux effets suivant les circonstances :
- Après un démarrage tout accès à un réseau via les protocoles internet est impossible
- Si une connexion est déjà établie et que les valeurs sont modifiées par la routine dans la bdr, c'est l'écran bleu et le dump et les dégâts possibles suivant les opérations en cours lorsqu'un essai d'accès a lieu.
- Si l'on arrive à démarrer (voir plus loin) la machine reste anormalement lente
En conséquence lors d'un démarrage qui établit (prépare) des connexions internet (tout http, https... et ftp) via un navigateur ou tout autre connexion internet (dont updates etc...) avant que la routine agisse, ou bien en sortie de veille (qui restaure la configuration courante opérationnelle des soft) c'est l'écran bleu en boucle assuré (quand le système ne demande pas à tout vérifier avec raison au redémarrage et sur une machine avec 2To de disques c'est parti pour une vingtaine d'heures...)
Pour contourner et réparer voire travailler un peu (mais risqué) il faut
- empêcher toute connexion réseau au démarrage
- modifier par le panneau de configuration le paramètre proxy de configuration internet (onglet connexions)
Dans certains cas, en particulier après l'écran bleu à la sortie de veille, il est évidemment (le plus souvent) impossible de redémarrer sans passer par le mode sans échec (dans ce cas la modification des paramètres internet devra se faire soit via un navigateur soit directement sur la DbR).
Les clefs modifiées (toutes les clefs repérables dans la DbR, évidemment la correction d'un HKeyLocalMachine ou HKeyCurrentUser modifiera dynamiquement d'autres valeurs de la ruche)
Les valeurs affectées sont :
- Pour les clefs "Internet Settings"
- ProxyEnable == [1]
- ProxyServer == [ http=127.0.0.1:8877;https=127.0.0.1:8877 ]
Pour la clef "ManualProxies"
(default) 1http=127.0.0.1:8877;https=127.0.0.1:8877
Les clefs modifiées sont (les valeurs figurent après le signe non conventionnel ==> puis ==)
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default) == 1http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default) == 1http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies ==> (default)== 1http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
Toutes les clefs de masque
HKEY_USERS\S-1-5-xx\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
HKEY_USERS\S-1-5-xx-2121571503-3476073540-2533713563-1018\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings ==> ProxyServer == http=127.0.0.1:8877;https=127.0.0.1:8877
A noter que TeamViewer semble utiliser de manière normale :
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer\Version8 ==> ProxyAutoList == 127.0.0.1:8877;;
(faux positif)
Tentative de remède en changeant simplement les valeurs de la BdR :
Si l'on soigne toutes les clefs, la machine retrouve au premier redémarrage un allant normal.
Après un passage en veille ou un redémarrage les valeurs effacées sont restaurées (tout ou partie, je n'ai pas eu le temps de contrôler à chaque fois...)
Recherche avec les outils classiques :
- Mon AV : GDATA ne voit rien. Le support est paumé se borne à me dire qu'un démarrage en mode sans échec élimine les trojan... et ne fait aucun effort.
- MalwareBytes ne voit rien non plus (du moins pas ça)
- Ad-remover ne voit rien de plus
- Le traitement recommandé par Dr.Web... n'a pas réglé le problème
- Pour CCleaner rien d'anormal : c'est normal les clefs sont cohérentes
- RoggeKiller ne voit rien
- ms SCERT : voit 6 "éléments" (après 5heures) mais n'établit aucun rapport de menace, cependant il passe les correction de BdR
- et voilà je suis sec et en panne depuis plus d'un mois...
Mea Culpa j'aurais du demander de l'aide ici plus tôt (en fait je me rend compte que je me suis mis dans la peau d'un simple utilisateur...)
Il y a pas mal d'Items sur divers forums utilisateurs (mots clefs "proxy" "8877").
Rien de précis permettant d'avancer.
Merci d'avance de votre aide.
Trebly
Partager