Adlice forum

General Category => Malware removal help => Topic started by: allblacks08 on August 27, 2015, 01:49:21 PM

Title: SSDT Hook infection
Post by: allblacks08 on August 27, 2015, 01:49:21 PM

Hello,
I have been infected this week by malware.
I remove it all with roguekiller, MBAM, Ad aware and now  roguekiller list many  "probably hook ssdt" (orange line) with unknown path and module.
Before the malware i have only green line and no unknown file. I haven't install any software since.
And the problem is that many times my screen freeze (2s) and it do a black screen (2s or more) and it run normally.

I post my roguekiller log.
My question is how can i clean SSDT, can anyone help me .

Thanks.
(Sorry for my english)

Title: Re: SSDT Hook infection
Post by: Curson on August 27, 2015, 04:31:00 PM

Hi allblacks08,

Welcome to Adlice.com Forum.
What's your native language ?

Quote

[C:\Windows\System32\drivers\etc\hosts] 192.168.100.190      scmu.iph-bet.fr
[C:\Windows\System32\drivers\etc\hosts] 192.168.100.12      srviph.iph-bet.local
[C:\Windows\System32\drivers\etc\hosts] 192.168.100.244      mds.iph-bet.fr
[C:\Windows\System32\drivers\etc\hosts] 192.168.100.188      mailarchive.iph-bet.fr
[C:\Windows\System32\drivers\etc\hosts] 192.168.100.252      owncloud.iph-bet.fr
[C:\Windows\System32\drivers\etc\hosts] 195.154.122.204   bigbb.iph-bet.fr
[C:\Windows\System32\drivers\etc\hosts] 10.10.10.1   vuduo

Did you add those entries yourself ?

• Please download TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe) and save it to your Desktop
  
• Doubleclick on TDSSKiller.exe to run the application, then click on Change parameters.
  
  (http://i1118.photobucket.com/albums/k611/lhs22/tds2.jpg)
  
  
• Check Loaded Modules and Detect TDLFS file system. 
  
• If you are asked to reboot because an "Extended Monitoring Driver is required" please click Reboot now.
  
  (http://i1118.photobucket.com/albums/k611/lhs22/2012081514h0118.png)
  
  
• Click Start Scan and allow the scan process to run.
  If threats are detected select Skip for all of them unless I instruct you otherwise.
  
• Click Continue
  
  (http://i1118.photobucket.com/albums/k611/lhs22/tds6.jpg)
  
  
• Click Reboot computer
  

Please post the contents of TDSSKiller.[Version]_[Date]_[Time]_log.txt found in your root directory (typically C:\)in your next reply.

Regards.

Title: Re: SSDT Hook infection
Post by: allblacks08 on August 27, 2015, 05:03:21 PM

Hi Curson,

I'm french.
The entry in the host file are OK.

I post you the tdsskiller log. It found nothing.

Thank you for your help.

Title: Re: SSDT Hook infection
Post by: Curson on August 27, 2015, 05:11:49 PM

Bonjour allblacks08,

Dans ce cas, continuons en français.
Peux-tu copier/coller le rapport de MBAM dans ton prochain message ?

Télécharge Farbar Recovery Scan Tool (x86) (http://download.bleepingcomputer.com/farbar/FRST.exe) et enregistre-le sur le Bureau.

• Fais un clic droit sur le fichier téléchargé (FRST.exe) et choissi "Exécuter en tant qu'administrateur". Quand l'outil démarre, clique sur Oui pour accepter les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Clique sur le bouton Scan.
  
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  
• Copie/colle ce rapport dans ta prochaine réponse.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe. Copie/colle également ce rapport dans ta réponse.
  

Meilleures salutations.

Title: Re: SSDT Hook infection
Post by: allblacks08 on August 27, 2015, 05:28:49 PM

Bonjour Curson,

C'est bien mieux comme cela.
Ci-joint le log MBAM suite à mon infection, puis les logs de FRST.

Encore merci pour ton aide.

Title: Re: SSDT Hook infection
Post by: Curson on August 27, 2015, 06:20:55 PM

Bonjour allblacks08,

Ton ordinateur est encore très infecté.
Désinstalle le programme ci-dessous :

Quote

[Activation] v0.3 Beta 3 (HKLM\...\TomTomActivation) (Version: v0.3 Beta 3 - HackeRabbit)

Télécharge le fichier attaché fixlist.txt et enregistre-le sur le Bureau.

NOTE. Il est important que les deux fichiers, FRST et fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Exécute FRST.exe, clique une seule fois sur le bouton Fix et attends.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Une fois terminé, FRST va créer un rapport placé sur le Bureau (Fixlog.txt). Copie/colle ce rapport dans ta prochaine réponse.

Meilleures salutations.

Title: Re: SSDT Hook infection
Post by: allblacks08 on August 28, 2015, 08:51:24 AM

Bonjour Curson,

J'ai réalisé les opérations. Ci-joint le fichier fixlog.txt .

Merci.

Title: Re: SSDT Hook infection
Post by: Curson on August 31, 2015, 01:09:24 PM

Bonjour allblacks08,

Connais-tu le programme ci-dessous :

Quote

C:\Program Files\IPH\Siphcom\Siphcom.exe

Comment se comporte le système actuellement ?

Meilleures salutations.

Title: Re: SSDT Hook infection
Post by: allblacks08 on August 31, 2015, 01:40:59 PM

Bonjour Curson,

Oui je connais le programme Siphcom.exe, c'est un logiciel professionnel.
Sinon le système se comporte très bien depuis le dernier passage de FRST. Aucun écran noir ni ralentissement.
Le sujet peut être clos, le problème est résolu.

Encore un grand merci pour ton aide.
Meilleures salutations.

Title: Re: SSDT Hook infection
Post by: Curson on August 31, 2015, 01:46:34 PM

Bonjour allblacks08,

Heureux de lire que ton problème est à présent résolu.
Au plaisir d'avoir pu t'aider.

Meilleures salutations.