[Résolu] Attaque grave virus (+ rootkit ?)
Dernière réponse : dans Sécurité
Bonjour,
Mon PC (sous XP Pro) est victime d'une attaque de virus (et rootkit ?) que je ne parviens pas à éradiquer. Jusqu'à présent, j'ai toujours pu me débarrasser des virus quitte à réinstaller certaines applications mais là, je sèche depuis 2 jours.
J'ai bêtement installé un petit outil téléchargé sans le passer à l'antivirus avant. Dès que mon pare-feu Online Armor m'a signalé quelque chose de suspect, j'ai lancé un scan complet avec mon antivirus (Avira Antivir) qui m'a détecté un cocktail sal***ries :
TR/Dldr.Renos.GK (et .GN .GS .PI)
W32/PatchLoad.A
TR/Kazy.11879.3
TR/Gendal.kdv.24
TR/Gendal.6104246
TR/ATRAPS.Gen2
TR/Spy.53472.4
Le rapport d'Antivir indique aussi qu'il n'a pas pu ouvrir certains exe : CCleaner.exe, HijackThis.exe, oacat.exe et oasrv.exe (deux exe d'Online Armor) et SpybotSD.exe.
A partir là tout a commencé à mal fonctionner.
J'ai voulu redémarrer le PC, erreur fatale. Je me suis retrouvé avec un clavier qui ne fonctionnait plus : j'avais beau appuyer sur les touches, aucun caractère ne s'affichait. Impossible de saisir mon mot de passe sur la session admin. J'ai récupéré la situation en mode sans échec quand je me suis aperçu que mon driver avait été remplacé. Il m'a suffi d'écraser le faux driver par le fichier correct. J'ai remis aussi les drivers de mes lecteurs DVD qui avaient subi le même sort. Ca pourra peut-être servir à quelqu'un...
Les exe qui n'ont pas pu être ouverts par Antivir ont en fait été remplacés par un programme de type DOS (il en a toute l'apparence, vu les onglets présents dans sa fenêtre Propriétés), et là où c'est vicieux, sans changer la taille du programme d'origine ni les dates de création et modification. Quand j'essaie de supprimer l'un de ces programmes, j'obtiens le message "Accès refusé".
Voici ce que j'ai tenté.
Désinstallation et réinstallation de Antivir --> Guard est aussitôt inactivé. En y regardant de plus près, plusieurs exe sont remplacés par le programme "type DOS".
Utilisation plusieurs fois de HijackThis --> à chaque fois, le scan s'effectue mais le programme se ferme à la fin et est remplacé par "type DOS".
Téléchargement et utilisation de Gmer --> pas de rootkit détecté (pas de ligne rouge) et après le scan, au 1er clic dans Gmer, celui-ci se ferme et est remplacé par le programme "type DOS".
C'est comme si ce virus connaissait d'avance certains programmes et les remplace dès qu'ils sont activés (CCleaner, Antivir, Gmer, Online Armor, HijackThis) ou détecte les applications qui exécutent un certain type d'opération (connexion à Internet par exemple). J'ai pu le vérifier en lançant mon client de poker en ligne, il a tout de suite été remplacé par "type DOS" alors qu'un exe que j'ai développé moi-même en VB et qui n'effectue aucune connexion à Internet n'est pas touché.
Je n'ose plus rien faire sur mon PC. D'ailleurs je poste ce message depuis un autre ordi. J'espère qu'une âme charitable pourra me donner un coup de main pour me sortir de ce guêpier.
Merci d'avance pour toute l'aide que vous pourrez m'apporter.
Mon PC (sous XP Pro) est victime d'une attaque de virus (et rootkit ?) que je ne parviens pas à éradiquer. Jusqu'à présent, j'ai toujours pu me débarrasser des virus quitte à réinstaller certaines applications mais là, je sèche depuis 2 jours.
J'ai bêtement installé un petit outil téléchargé sans le passer à l'antivirus avant. Dès que mon pare-feu Online Armor m'a signalé quelque chose de suspect, j'ai lancé un scan complet avec mon antivirus (Avira Antivir) qui m'a détecté un cocktail sal***ries :
TR/Dldr.Renos.GK (et .GN .GS .PI)
W32/PatchLoad.A
TR/Kazy.11879.3
TR/Gendal.kdv.24
TR/Gendal.6104246
TR/ATRAPS.Gen2
TR/Spy.53472.4
Le rapport d'Antivir indique aussi qu'il n'a pas pu ouvrir certains exe : CCleaner.exe, HijackThis.exe, oacat.exe et oasrv.exe (deux exe d'Online Armor) et SpybotSD.exe.
A partir là tout a commencé à mal fonctionner.
J'ai voulu redémarrer le PC, erreur fatale. Je me suis retrouvé avec un clavier qui ne fonctionnait plus : j'avais beau appuyer sur les touches, aucun caractère ne s'affichait. Impossible de saisir mon mot de passe sur la session admin. J'ai récupéré la situation en mode sans échec quand je me suis aperçu que mon driver avait été remplacé. Il m'a suffi d'écraser le faux driver par le fichier correct. J'ai remis aussi les drivers de mes lecteurs DVD qui avaient subi le même sort. Ca pourra peut-être servir à quelqu'un...
Les exe qui n'ont pas pu être ouverts par Antivir ont en fait été remplacés par un programme de type DOS (il en a toute l'apparence, vu les onglets présents dans sa fenêtre Propriétés), et là où c'est vicieux, sans changer la taille du programme d'origine ni les dates de création et modification. Quand j'essaie de supprimer l'un de ces programmes, j'obtiens le message "Accès refusé".
Voici ce que j'ai tenté.
Désinstallation et réinstallation de Antivir --> Guard est aussitôt inactivé. En y regardant de plus près, plusieurs exe sont remplacés par le programme "type DOS".
Utilisation plusieurs fois de HijackThis --> à chaque fois, le scan s'effectue mais le programme se ferme à la fin et est remplacé par "type DOS".
Téléchargement et utilisation de Gmer --> pas de rootkit détecté (pas de ligne rouge) et après le scan, au 1er clic dans Gmer, celui-ci se ferme et est remplacé par le programme "type DOS".
C'est comme si ce virus connaissait d'avance certains programmes et les remplace dès qu'ils sont activés (CCleaner, Antivir, Gmer, Online Armor, HijackThis) ou détecte les applications qui exécutent un certain type d'opération (connexion à Internet par exemple). J'ai pu le vérifier en lançant mon client de poker en ligne, il a tout de suite été remplacé par "type DOS" alors qu'un exe que j'ai développé moi-même en VB et qui n'effectue aucune connexion à Internet n'est pas touché.
Je n'ose plus rien faire sur mon PC. D'ailleurs je poste ce message depuis un autre ordi. J'espère qu'une âme charitable pourra me donner un coup de main pour me sortir de ce guêpier.
Merci d'avance pour toute l'aide que vous pourrez m'apporter.
Autres pages sur : resolu attaque grave virus rootkit
jeanphi33 a édité ce message
Lassé par la pub ? Créez un compte
Bonjour,
Préambule à toute désinfection :
La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :
Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
(En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.
Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !
De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !
Note : si tu ne peux télécharger du pc infecté, fais-le d'un pc fonctionnel et transfère les outils via clé usb sur le pc bloqué, et inversement pour les rapports
Télécharge RstAssociations (de Xplode ) sur ton bureau.
Double-clique sur le fichier pour le lancer.
Coche les cases "exe" et "com"
Clique sur "Restaurer"
Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse
Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"
Ferme l'outil.
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.com pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Note : Les rapports sont aussi enregistrés sur le bureau
Préambule à toute désinfection :
La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :
(En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !
De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !
Note : si tu ne peux télécharger du pc infecté, fais-le d'un pc fonctionnel et transfère les outils via clé usb sur le pc bloqué, et inversement pour les rapports
Télécharge RstAssociations (de Xplode ) sur ton bureau.
Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system64\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system64\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system64\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system64\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
Note : Les rapports sont aussi enregistrés sur le bureau
Bonjour hyunkel30,
Merci de prendre en charge mon problème.
J'ai exécuté les procédures demandées. Voici le rapport de RstAssociations :
Mis à jour le 26/05/11 à 16h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Jean-Phi - JEYADY (Administrateur)
Exécuté depuis : C:\Documents and Settings\Jean-Phi\Bureau\rstassociations.scr
¤¤¤¤¤ Restauration ¤¤¤¤¤
-> com ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
¤¤¤¤¤ Résultats ¤¤¤¤¤¤
-> [2 association(s) de fichiers restaurée(s) avec succès]
-> [0 association(s) de fichiers non restaurée(s)]
########## EOF - "C:\RstAssociations.txt" - [706 octets] ##########
En ce qui concerne OTL, j'ai exécuté la procédure jusqu'au clic sur le bouton Analyse. Immédiatement, OTL s'est fermé. J'ai quand même patienté 15 minutes au cas où ce fonctionnement serait normal mais rien ne s'est passé. J'imagine que OTL reste ouvert pendant le scan. Cela ressemble furieusement à ce qui se produit avec HijackThis (entre autre).
Je n'ai rien fait d'autre.
Merci de prendre en charge mon problème.
J'ai exécuté les procédures demandées. Voici le rapport de RstAssociations :
Citation :
RstAssociations v1.3 - Rapport créé le 09/08/2011 à 15:58Mis à jour le 26/05/11 à 16h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Jean-Phi - JEYADY (Administrateur)
Exécuté depuis : C:\Documents and Settings\Jean-Phi\Bureau\rstassociations.scr
¤¤¤¤¤ Restauration ¤¤¤¤¤
-> com ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
¤¤¤¤¤ Résultats ¤¤¤¤¤¤
-> [2 association(s) de fichiers restaurée(s) avec succès]
-> [0 association(s) de fichiers non restaurée(s)]
########## EOF - "C:\RstAssociations.txt" - [706 octets] ##########
En ce qui concerne OTL, j'ai exécuté la procédure jusqu'au clic sur le bouton Analyse. Immédiatement, OTL s'est fermé. J'ai quand même patienté 15 minutes au cas où ce fonctionnement serait normal mais rien ne s'est passé. J'imagine que OTL reste ouvert pendant le scan. Cela ressemble furieusement à ce qui se produit avec HijackThis (entre autre).
Je n'ai rien fait d'autre.
re,
Supprime OTL.com puis télécharge celui-ci :
http://oldtimer.geekstogo.com/OTL.scr
Refait la même procédure.
Si pas mieux :
Télécharge celui-là, mais renomme-le "explorer.exe" avant de la lancer.
http://oldtimer.geekstogo.com/OTL.exe
Si toujours pas mieux, viens me le dire.
Supprime OTL.com puis télécharge celui-ci :
http://oldtimer.geekstogo.com/OTL.scr
Refait la même procédure.
Si pas mieux :
Télécharge celui-là, mais renomme-le "explorer.exe" avant de la lancer.
http://oldtimer.geekstogo.com/OTL.exe
Si toujours pas mieux, viens me le dire.
Re,
Oui il doit rester ouvert, donc c'est qui est killé par l'infection.
On va faire autrement alors :
Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)
Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
Patiente le temps de la décompression et de la gravure du CD.
Passe sur le PC bloqué/infecté
Modifie l'ordre de Boot pour démarrer sur le CD
Redémarre ton PC en utilisant le LiveCD venant d'être créé.
Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
Double-clique sur l'icône OTLPE
Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
L'outil OTL doit se lancer maintenant.
Copie-colle ceci sous "Custom Scan/Fix"
Presse Run Scan pour démarrer le scan.
Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
Poste la contenu du rapport OTL.txt dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Oui il doit rester ouvert, donc c'est qui est killé par l'infection.
On va faire autrement alors :
Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
netsvcs
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Merci d'avoir répondu à une heure aussi tardive.
J'ai exécuté la première partie de la procédure, celle qui consiste à graver le livecd REATOGO-X-PE.
Avant d'exécuter la procédure sur le PC infecté, je veux m'assurer d'une chose. Quand tu dis "clique le nom de la session de l'utilisateur du PC", est-ce utilisateur par opposition à administrateur ? Ce qui signifierait qu'il ne faut pas choisir une session administrateur (pour des raisons de niveaux de privilèges par exemple).
Je pose cette question parce que sur mon PC infecté, j'ai plusieurs comptes utilisateurs limités (une par membre de ma famille) et un compte administrateur que j'utilise comme session personnelle.
En résumé, puis-je choisir ma session admin ou non ?
J'ai exécuté la première partie de la procédure, celle qui consiste à graver le livecd REATOGO-X-PE.
Avant d'exécuter la procédure sur le PC infecté, je veux m'assurer d'une chose. Quand tu dis "clique le nom de la session de l'utilisateur du PC", est-ce utilisateur par opposition à administrateur ? Ce qui signifierait qu'il ne faut pas choisir une session administrateur (pour des raisons de niveaux de privilèges par exemple).
Je pose cette question parce que sur mon PC infecté, j'ai plusieurs comptes utilisateurs limités (une par membre de ma famille) et un compte administrateur que j'utilise comme session personnelle.
En résumé, puis-je choisir ma session admin ou non ?
Re,
Mhmhm rien de concluant, on va quand même virer des trucs :
Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
Double-clique sur l'icône OTLPE
Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
L'outil OTL doit se lancer maintenant
Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"
:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
IE - HKU\Jean-Phi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page_bak = http://lookfor.cc/sp.php?pin=28129
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
[2011/02/18 15:35:26 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
O3 - HKU\Jean-Phi_ON_C\..\Toolbar\ShellBrowser: (no name) - {3523D582-311F-474A-A0F8-DAE161D91E88} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: user32.dll = C:\Program Files\Video ActiveX Access\iesmn.exe
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-wind... (Reg Error: Key error.)
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp -> ]
[1 C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
[2011/08/07 17:48:50 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\kl1o0gng.exe
[2011/08/07 17:37:34 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\oqg6cq1y.exe
[2010/11/20 12:40:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jean-Phi\Application Data\OfferBox
[2010/11/20 06:58:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Yohann\Application Data\OfferBox
@Alternate Data Stream - 132 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:67DF79FC
@Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:44DAF2F1
:Files
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\system\services.exe
:Commands
[emptytemp]
[emptyflash]
Cliques alors sur "Run Fix"
Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
Poste la contenu du rapport dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
-----------------
Repasse en mode normal puis essaye ceci :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Mhmhm rien de concluant, on va quand même virer des trucs :
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
IE - HKU\Jean-Phi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page_bak = http://lookfor.cc/sp.php?pin=28129
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://nonstopsearch.com/?a=2
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nonstopsearch.com/?a=2
[2011/02/18 15:35:26 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
O3 - HKU\Jean-Phi_ON_C\..\Toolbar\ShellBrowser: (no name) - {3523D582-311F-474A-A0F8-DAE161D91E88} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: user32.dll = C:\Program Files\Video ActiveX Access\iesmn.exe
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_01-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_02-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-wind... (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-wind... (Reg Error: Key error.)
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Yohann\Local Settings\Application Data\*.tmp -> ]
[1 C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Ya Kien\Local Settings\Application Data\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
[2011/08/07 17:48:50 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\kl1o0gng.exe
[2011/08/07 17:37:34 | 000,302,592 | ---- | M] () -- C:\Documents and Settings\Jean-Phi\Bureau\oqg6cq1y.exe
[2010/11/20 12:40:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jean-Phi\Application Data\OfferBox
[2010/11/20 06:58:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Yohann\Application Data\OfferBox
@Alternate Data Stream - 132 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:67DF79FC
@Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:44DAF2F1
:Files
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\system\services.exe
:Commands
[emptytemp]
[emptyflash]
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
-----------------
Repasse en mode normal puis essaye ceci :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Salut,
Rapport de suppression OTL ---> 08122011_005655.log
Pour TDSSKiller :
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Je n'ai rien eu de tout ça. J'ai eu le rapport suivant :
Malicious objects / Rootkit.Win32.ZAccess.e sur le fichier "C:\WINDOWS\System32\drivers\afd.sys" avec l'option par défaut Cure que j'ai laissée. J'espère ne pas avoir fait de bêtise![:??:]( ":??:")
J'ai lu l'indication "will be cured after reboot" mais je ne sais plus où exactement. J'ai cliqué sur "Reboot now".
Rapport de suppression TDSSKiller ---> TDSSKiller_log.txt
Au fait, une chose que je voulais te signaler : depuis l'attaque, Windows ne se ferme plus. Quand je choisis "Arrêter l'ordinateur", ma session se ferme bien, j'ai les messages "Déconnexion" puis "Fermeture de Windows" et ça s'arrête là. Je suis obligé d'éteindre l'ordi manuellement. C'est anecdotique mais je voulais t'en faire part.
Rapport de suppression OTL ---> 08122011_005655.log
Pour TDSSKiller :
hyunkel30 a dit :
Je n'ai rien eu de tout ça. J'ai eu le rapport suivant :
Malicious objects / Rootkit.Win32.ZAccess.e sur le fichier "C:\WINDOWS\System32\drivers\afd.sys" avec l'option par défaut Cure que j'ai laissée. J'espère ne pas avoir fait de bêtise
J'ai lu l'indication "will be cured after reboot" mais je ne sais plus où exactement. J'ai cliqué sur "Reboot now".
Rapport de suppression TDSSKiller ---> TDSSKiller_log.txt
Au fait, une chose que je voulais te signaler : depuis l'attaque, Windows ne se ferme plus. Quand je choisis "Arrêter l'ordinateur", ma session se ferme bien, j'ai les messages "Déconnexion" puis "Fermeture de Windows" et ça s'arrête là. Je suis obligé d'éteindre l'ordi manuellement. C'est anecdotique mais je voulais t'en faire part.
Re,
Ouais il a tenté d ele corriger, c'est bien.
Le souci c'est que tu as des fichiers système "patché", c'est à dire détourné par l'infection, c'est délicat. (et surement de là que viens le souci de fermeture de windows)
Repasse TDSSkiller et regarde s'il détecte à nouveau quelque chose.
Puis fais ceci :
Télécharge DrWeb CureIt :
Double-clique sur "Launch.exe" pour le lancer.
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
Ferme le programme.
Note : si rien n'est détecté lors du scan rapide, indique-le nous.
Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"
Ouais il a tenté d ele corriger, c'est bien.
Le souci c'est que tu as des fichiers système "patché", c'est à dire détourné par l'infection, c'est délicat. (et surement de là que viens le souci de fermeture de windows)
Repasse TDSSkiller et regarde s'il détecte à nouveau quelque chose.
Puis fais ceci :
Télécharge DrWeb CureIt :
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Note : si rien n'est détecté lors du scan rapide, indique-le nous.
Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"
Salut hyunkel30,
Désolé pour cette réponse tardive, je n'ai pas eu le temps de travailler sur mon problème ces derniers jours.
J'ai repassé TDSSKiller mais il s'est fermé assez rapidement en cours de scan (killé par l'infection).
J'ai lancé DrWeb CureIt mais après avoir cliqué sur "Commencer le scan", j'ai eu une une erreur du programme bec14_xp.exe : "L'instruction à "0x00462205" emploie l'adresse mémoire "0x3568f42d". La mémoire ne peut pas être "read".
Puis une fenêtre m'a indiqué que des virus ont été détectés (un seul bouton possible : Ok). J'ai cliqué sur Ok et CureIt s'est fermé.
Launch.exe ne semble pas killé par l'infection.
Dois-je essayer de relancer Launch.exe ?
Désolé pour cette réponse tardive, je n'ai pas eu le temps de travailler sur mon problème ces derniers jours.
J'ai repassé TDSSKiller mais il s'est fermé assez rapidement en cours de scan (killé par l'infection).
J'ai lancé DrWeb CureIt mais après avoir cliqué sur "Commencer le scan", j'ai eu une une erreur du programme bec14_xp.exe : "L'instruction à "0x00462205" emploie l'adresse mémoire "0x3568f42d". La mémoire ne peut pas être "read".
Puis une fenêtre m'a indiqué que des virus ont été détectés (un seul bouton possible : Ok). J'ai cliqué sur Ok et CureIt s'est fermé.
Launch.exe ne semble pas killé par l'infection.
Dois-je essayer de relancer Launch.exe ?
Re,
Non, on va passer par la version liveCD de cet outil aussi :
Télécharge DrWeb CureIt LiveCD :
C'est une image ISO à graver sur un autre PC pour obtenir un LiveCD.
Utilise un logiciel de gravure, et choisi "graver une image disque" ou équivalent.
(Si tu ne possèdes pas de logiciel faisant ceci, utilise celui-là)
Passe sur le PC bloqué/infecté
Modifie l'ordre de Boot pour démarrer sur le CD
Redémarre ton PC en utilisant le LiveCD venant d'être créé.
Au lancement, un menu va apparaitre, choisi "DrWeb-LiveCD"
Tu arriveras sur une interface graphique semblable à un bureau
Double-clique sur "Dr.Web Scanner"
Clique sur l'icône en forme de boule verte pour mettre à jour la base de définition.
(Si ta connexion n'est pas accessible, passe cette étape)
Une fois cela fait, clique sur le bouton " |> Start"
Laisse le scan s'effectuer.
Lorsque le scan est fini, choisi : Select All Puis Cure
Ferme le programme.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Non, on va passer par la version liveCD de cet outil aussi :
Télécharge DrWeb CureIt LiveCD :
(Si tu ne possèdes pas de logiciel faisant ceci, utilise celui-là)
(Si ta connexion n'est pas accessible, passe cette étape)
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Salut,
Me revoici enfin. Le scan a pris beaucoup de temps : 89 heures.
J'ai l'impression que j'ai eu une nouvelle version de DrWeb LiveCD par rapport à celle que tu connaissais car je n'ai pas la même interface que celle que tu décris. Une petite remarque au passage, c'est une version qui tourne sous Linux.
Il y a une fenêtre unique avec des options : Control Center, Scanner, Quarantine, etc. Dans l'option Scanner, pas de bouton Start mais Begin Scan et pour finir, pas de bouton Select All (la sélection s'effectue à la souris).
Si ça a duré aussi longtemps, c'est qu'il me semble qu'il a scanné mes deux partitions deux fois. Pour C:, par exemple, elle a été scannée une première fois sous le nom "/mnt/disk/hda1" et une deuxième fois sous le nom "/win/C:".
Voici ce qui a été trouvé par DrWeb et les actions effectuées :
Trojan.Starter.1695 ---> cured
BackDoor.Siggen.33502 ---> deleted
Trojan.Inject.51883 ---> deleted
Trojan.NtRootKit.11604 ---> deleted
J'ai ensuite fermé le programme comme convenu.
Me revoici enfin. Le scan a pris beaucoup de temps : 89 heures.
J'ai l'impression que j'ai eu une nouvelle version de DrWeb LiveCD par rapport à celle que tu connaissais car je n'ai pas la même interface que celle que tu décris. Une petite remarque au passage, c'est une version qui tourne sous Linux.
Il y a une fenêtre unique avec des options : Control Center, Scanner, Quarantine, etc. Dans l'option Scanner, pas de bouton Start mais Begin Scan et pour finir, pas de bouton Select All (la sélection s'effectue à la souris).
Si ça a duré aussi longtemps, c'est qu'il me semble qu'il a scanné mes deux partitions deux fois. Pour C:, par exemple, elle a été scannée une première fois sous le nom "/mnt/disk/hda1" et une deuxième fois sous le nom "/win/C:".
Voici ce qui a été trouvé par DrWeb et les actions effectuées :
J'ai ensuite fermé le programme comme convenu.
Bonsoir,
Merci pour le retour, je testerais pour mettre à jour la procédure.
Redémarre ton pc normalement à présent.
Supprime l'ancienne version de TDSSkiller.exe puis refait cette procédure :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Merci pour le retour, je testerais pour mettre à jour la procédure.
Redémarre ton pc normalement à présent.
Supprime l'ancienne version de TDSSkiller.exe puis refait cette procédure :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Salut hyunkel30,
Je n'ai pas pu supprimer l'ancienne version de TDSSkiller.exe directement car j'avais un message "Impossible de supprimer : Accès refusé". J'ai redémarré en invite de commande en mode sans échec pour pouvoir le supprimer. Pour mémoire, cette ancienne version de TDSSkiller.exe avait été remplacée le programme de type DOS dont je t'avais parlé.
TDSSKiller n'a trouvé qu'une menace ; elle est de type "Suspicious object / Hidden file". J'ai laissé sur Skip comme demandé.
Voici le rapport TDSSKiller ---> TDSSKiller.2.5.17.0_27.08.2011_17.09.39_log.txt
Je n'ai pas pu supprimer l'ancienne version de TDSSkiller.exe directement car j'avais un message "Impossible de supprimer : Accès refusé". J'ai redémarré en invite de commande en mode sans échec pour pouvoir le supprimer. Pour mémoire, cette ancienne version de TDSSkiller.exe avait été remplacée le programme de type DOS dont je t'avais parlé.
TDSSKiller n'a trouvé qu'une menace ; elle est de type "Suspicious object / Hidden file". J'ai laissé sur Skip comme demandé.
Voici le rapport TDSSKiller ---> TDSSKiller.2.5.17.0_27.08.2011_17.09.39_log.txt
Re,
Ok il a trouvé la variante, faut mettre sur Cure pour le "Suspicious object"
Refais le scan et fais-le.
S'il demande à redémarrer le pc, accepte en cliquant sur "Reboot now"
Poste le rapport obtenu après redémarrage, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt (prend la bonne date/heure)
Ok il a trouvé la variante, faut mettre sur Cure pour le "Suspicious object"
Refais le scan et fais-le.
S'il demande à redémarrer le pc, accepte en cliquant sur "Reboot now"
Poste le rapport obtenu après redémarrage, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt (prend la bonne date/heure)
Re,
Bien, pour suivre :
Télécharge MalwareByte's Anti-Malware :
Installe le programme (aide ici)
Lance-le et met à jour la base de définition.
Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
Sélectionne les disques dur et clique sur "Lancer l'examen"
Laisse l'analyse se faire (cela peut durer longtemps).
A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
Puis clique sur "Supprimer la sélection" en bas.
Un redémarrage peut être nécessaire.
Un rapport va s'afficher, enregistre-le sur ton bureau.
ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
Bien, pour suivre :
Télécharge MalwareByte's Anti-Malware :
Salut,
Il y a une conséquence gênante de l'infection : je n'arrive pas à réactiver ma connexion Internet (l'allocation d'adresse IP n'aboutit pas). Je télécharge à partir d'un autre ordi et j'utilise une clé USB pour passer sur l'ordi infecté. Donc je ne vais pas pouvoir faire la mise à jour de la base de définition de MBAM sauf si je répare ma connexion avant.
A tout hasard, je te pose la question : l'impossibilité de réactiver ma connexion peut-elle provenir de l'absence de netbt.sys qui était l'un des fichiers supprimés par Dr Web (infecté par Trojan.NtRootKit.11604) ?
Il y a une conséquence gênante de l'infection : je n'arrive pas à réactiver ma connexion Internet (l'allocation d'adresse IP n'aboutit pas). Je télécharge à partir d'un autre ordi et j'utilise une clé USB pour passer sur l'ordi infecté. Donc je ne vais pas pouvoir faire la mise à jour de la base de définition de MBAM sauf si je répare ma connexion avant.
A tout hasard, je te pose la question : l'impossibilité de réactiver ma connexion peut-elle provenir de l'absence de netbt.sys qui était l'un des fichiers supprimés par Dr Web (infecté par Trojan.NtRootKit.11604) ?
Re,
C'est possible oui, on vérifiera ensuite.
Pour mettre à jour mawarebyte's hors ligne :
http://data.mbamupdates.com/tools/mbam-rules.exe
à lancer une fois MBAM installé![;)]( ";)")
C'est possible oui, on vérifiera ensuite.
Pour mettre à jour mawarebyte's hors ligne :
http://data.mbamupdates.com/tools/mbam-rules.exe
à lancer une fois MBAM installé
Salut,
L'examen n'a duré que 2 h 12 (c'est rien par rapport au 89 h 30 de Dr Web LiveCD !) et a trouvé 24 éléments infectés.
Voici le rapport de mbam ---> mbam-log-2011-09-02 (18-21-02).txt
Deux points diffèrent par rapport à ta procédure :
- dans la fenêtre de sélection des disques durs, le bouton se nomme Rechercher et non pas Lancer l'examen
- la vérification des éléments trouvés s'effectue via le bouton Afficher les résultats et non Résultats de l'examen
L'examen n'a duré que 2 h 12 (c'est rien par rapport au 89 h 30 de Dr Web LiveCD !) et a trouvé 24 éléments infectés.
Voici le rapport de mbam ---> mbam-log-2011-09-02 (18-21-02).txt
Deux points diffèrent par rapport à ta procédure :
- dans la fenêtre de sélection des disques durs, le bouton se nomme Rechercher et non pas Lancer l'examen
- la vérification des éléments trouvés s'effectue via le bouton Afficher les résultats et non Résultats de l'examen
Je suis connecté à une box par câble RJ45 et j'avais pensé à rebooter la box avant. De toute façon, la box fonctionne correctement pour ma télé (connexion par CPL) et pour mon autre ordi (connexion Wifi, clé WEP ok).
J'ai lu sur un forum que l'antivirus pouvait tout bloquer. Comme le mien est dans un état instable car il a été infecté (puis désinfecté par Dr Web), je me demande s'il ne faudrait pas que je le désinstalle et réinstalle complètement.
A tout hasard, voici ce que donne ipconfig :
J'ai lu sur un forum que l'antivirus pouvait tout bloquer. Comme le mien est dans un état instable car il a été infecté (puis désinfecté par Dr Web), je me demande s'il ne faudrait pas que je le désinstalle et réinstalle complètement.
A tout hasard, voici ce que donne ipconfig :
Carte Ethernet Connexion au réseau local 2:
Suffixe DNS propre à la connexion :
Adresse IP. . . . . . . . . . . . : 0.0.0.0
Masque de sous-réseau . . . . . . : 0.0.0.0
Passerelle par défaut . . . . . . :
Suffixe DNS propre à la connexion :
Adresse IP. . . . . . . . . . . . : 0.0.0.0
Masque de sous-réseau . . . . . . : 0.0.0.0
Passerelle par défaut . . . . . . :
Re,
Ok si par cable réseau, déjà cela résout le souci de la box et des clé d'accès.
Oui pour ton antivirus, désinstalle-le.
De la même manière, supprime Online Armor pour le moment.
Regarde s'il y a du mieux.
L'ipconfig est sur la carte réseau que tu utilises c'est sur ?
Tu n'as pas une sans numéro ?
Pour voir, télécharge et exécute ceci :
http://dl.free.fr/bDQ4IN27b
Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.
Ok si par cable réseau, déjà cela résout le souci de la box et des clé d'accès.
Oui pour ton antivirus, désinstalle-le.
De la même manière, supprime Online Armor pour le moment.
Regarde s'il y a du mieux.
L'ipconfig est sur la carte réseau que tu utilises c'est sur ?
Citation :
Carte Ethernet Connexion au réseau local 2: Tu n'as pas une sans numéro ?
Pour voir, télécharge et exécute ceci :
http://dl.free.fr/bDQ4IN27b
Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.
Salut,
Merci de me répondre même un dimanche !![:)]( ":)")
Mais quand on est passionné... (je suis modérateur d'un forum et je fais pareil![;)]( ";)")
)
La désinstallation d'Antivir + redémarrage n'a rien changé. Idem après désinstallation d'Online Armor.
J'ai deux connexions réseau :
Connexion au réseau local : Marvell Yukon PCI Gigabit Ethernet Controller
Connexion au réseau local 2 : NVIDIA nForce Networking Controller
J'ai toujours utilisé la connexion NVIDIA nForce car c'est sur le port correspondant que je branche mon câble RJ45. J'ai fait un essai en le branchant sur le port de la connexion Marvell Yukon mais le résultat est le même. Dans les deux cas, l'état reste en permanence à "Lecture de l'adresse réseau" et l'onglet support de la fenêtre de statut donne "Adresse IP non valide" avec les mêmes valeurs que l'ipconfig (0.0.0.0).
J'ai exécuté le ping.bat. Un ping.txt a bien été créé sous C:\ (mais ne s'est pas ouvert) et son contenu est vide.
Merci de me répondre même un dimanche !
Mais quand on est passionné... (je suis modérateur d'un forum et je fais pareil
)La désinstallation d'Antivir + redémarrage n'a rien changé. Idem après désinstallation d'Online Armor.
J'ai deux connexions réseau :
J'ai toujours utilisé la connexion NVIDIA nForce car c'est sur le port correspondant que je branche mon câble RJ45. J'ai fait un essai en le branchant sur le port de la connexion Marvell Yukon mais le résultat est le même. Dans les deux cas, l'état reste en permanence à "Lecture de l'adresse réseau" et l'onglet support de la fenêtre de statut donne "Adresse IP non valide" avec les mêmes valeurs que l'ipconfig (0.0.0.0).
J'ai exécuté le ping.bat. Un ping.txt a bien été créé sous C:\ (mais ne s'est pas ouvert) et son contenu est vide.
Re,
Bah oui les bénévoles, c'est connu, ça bosse en dehors des heures de boulot![:lol:]( ":lol:")
ça semble vouloir dire qu'il n'arrive pas à obtenir les info de connexion du routeur (de la box quoi)
Question bête, mais bon parfois ...
T'aurais pas un autre cable réseau pour tester que ce ne soit pas le câble ?
De même si tu as plusieurs port réseau sur ta box, teste sur un autre.
Refait un ipconfig, mais cette fois-ci tape ceci :
Copie-colle moi le résultat dans ta prochaine réponse![;)]( ";)")
Bah oui les bénévoles, c'est connu, ça bosse en dehors des heures de boulot
Citation :
J'ai toujours utilisé la connexion NVIDIA nForce car c'est sur le port correspondant que je branche mon câble RJ45. J'ai fait un essai en le branchant sur le port de la connexion Marvell Yukon mais le résultat est le même. Dans les deux cas, l'état reste en permanence à "Lecture de l'adresse réseau" et l'onglet support de la fenêtre de statut donne "Adresse IP non valide" avec les mêmes valeurs que l'ipconfig (0.0.0.0). ça semble vouloir dire qu'il n'arrive pas à obtenir les info de connexion du routeur (de la box quoi)
Question bête, mais bon parfois ...
T'aurais pas un autre cable réseau pour tester que ce ne soit pas le câble ?
De même si tu as plusieurs port réseau sur ta box, teste sur un autre.
Refait un ipconfig, mais cette fois-ci tape ceci :
Citation :
ipconfig /allCopie-colle moi le résultat dans ta prochaine réponse
Re,
J'ai changé de câble ; je l'ai branché plusieurs fois alternativement sur l'une ou l'autre de mes cartes réseau tout en changeant de port sur la box. Rien n'y fait, il y a toujours le même problème. Je penche pour un problème logiciel et non pas matériel. Tu te souviens qu'un fichier avait été supprimé par Dr Web (netbt.sys) ? Ca peut peut-être venir de là...
Une réparation des fonctionnalités réseau à partir de mon CD Windows XP pourrait peut-être résoudre le problème![:??:]( ":??:")
.
En attendant, voici le résultat de l'ipconfig.
Configuration IP de Windows
Nom de l'hôte . . . . . . . . . . : jeyady
Suffixe DNS principal . . . . . . :
Type de noeud . . . . . . . . . . : Inconnu
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Carte Ethernet Connexion au réseau local:
Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Adresse physique . . . . . . . . .: 00-0E-A6-2B-DD-86
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 0.0.0.0
Masque de sous-réseau . . . . . . : 0.0.0.0
Passerelle par défaut . . . . . . :
Serveur DHCP. . . . . . . . . . . : 255.255.255.255
NetBIOS sur TCPIP. . . . . . . . : Désactivé
Carte Ethernet Connexion au réseau local 2:
Statut du média . . . . . . . . . : Média déconnecté
Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Adresse physique . . . . . . . . .: 00-0E-A6-2B-E9-38
J'ai changé de câble ; je l'ai branché plusieurs fois alternativement sur l'une ou l'autre de mes cartes réseau tout en changeant de port sur la box. Rien n'y fait, il y a toujours le même problème. Je penche pour un problème logiciel et non pas matériel. Tu te souviens qu'un fichier avait été supprimé par Dr Web (netbt.sys) ? Ca peut peut-être venir de là...
Une réparation des fonctionnalités réseau à partir de mon CD Windows XP pourrait peut-être résoudre le problème
.En attendant, voici le résultat de l'ipconfig.
Configuration IP de Windows
Nom de l'hôte . . . . . . . . . . : jeyady
Suffixe DNS principal . . . . . . :
Type de noeud . . . . . . . . . . : Inconnu
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Carte Ethernet Connexion au réseau local:
Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Adresse physique . . . . . . . . .: 00-0E-A6-2B-DD-86
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 0.0.0.0
Masque de sous-réseau . . . . . . : 0.0.0.0
Passerelle par défaut . . . . . . :
Serveur DHCP. . . . . . . . . . . : 255.255.255.255
NetBIOS sur TCPIP. . . . . . . . : Désactivé
Carte Ethernet Connexion au réseau local 2:
Statut du média . . . . . . . . . : Média déconnecté
Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
Adresse physique . . . . . . . . .: 00-0E-A6-2B-E9-38
Re,
Alors va peut-être falloir tester la réparation :
(tu conserves tes documents, faudra juste réinstaller les mises à jour Windows, dont le SP3, par précaution, sauvegarde quand même l'essentiel)
http://www.commentcamarche.net/faq/3427-reparer-windows...
Attention de bien d'abord choisir l'option "Installer" PUIS "réparer"
Alors va peut-être falloir tester la réparation :
(tu conserves tes documents, faudra juste réinstaller les mises à jour Windows, dont le SP3, par précaution, sauvegarde quand même l'essentiel)
http://www.commentcamarche.net/faq/3427-reparer-windows...
Attention de bien d'abord choisir l'option "Installer" PUIS "réparer"
![[:_tom_:7]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/bd/ec/_tom_:7.gif "[:_tom_:7]")
Salut hyunkel30,
J'ai réinstallé Antivir et Online Armor. Le scan complet a détecté 3 fichiers infectés dont l'un doit être, à mon avis, un faux positif. Le fichier soit-disant infecté est un désinfecteur du virus Stinger ! Pour les deux autres, je ne sais pas. Dans le doute, j'ai mis les 3 fichiers en quarantaine.
Il semble donc que tout soit ok maintenant.
J'ai réinstallé Antivir et Online Armor. Le scan complet a détecté 3 fichiers infectés dont l'un doit être, à mon avis, un faux positif. Le fichier soit-disant infecté est un désinfecteur du virus Stinger ! Pour les deux autres, je ne sais pas. Dans le doute, j'ai mis les 3 fichiers en quarantaine.
Il semble donc que tout soit ok maintenant.
Salut,
Voici le rapport d'Antivir --> AVSCAN-20110916-213419-98D1919F.LOG
... et désolé pour mon manque de réactivité.
Voici le rapport d'Antivir --> AVSCAN-20110916-213419-98D1919F.LOG
... et désolé pour mon manque de réactivité.
Bonjour,
[RESULTAT] Contient le cheval de Troie TR/Kazy.33257
Recherche débutant dans 'D:\' <SAUVEGARDE>
D:\_Original\_Emulateurs\Nintendo\FCE_Ultra\FCE_Ultra_V2.12_win_Fr.zip
[0] Type d'archive: ZIP
--> fceux.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.33257
Cela pourrait être l'origine de ton infection ...
Où simplement un fichier patché par l'infection.
Pour l'autre possible que ce soit l'encryptage du fichier qui fasse réagir ... de toute manière ce genre d'outil doit être supprimé une fois utilisé ...
Met à jour immédiatement ton système vers le service pack3 et fais l'ensemble des mises à jour.
http://update.microsoft.com/microsoftupdate/v6/default....
Citation :
C:\Program Files\FCEUltra\fceux.exe[RESULTAT] Contient le cheval de Troie TR/Kazy.33257
Recherche débutant dans 'D:\' <SAUVEGARDE>
D:\_Original\_Emulateurs\Nintendo\FCE_Ultra\FCE_Ultra_V2.12_win_Fr.zip
[0] Type d'archive: ZIP
--> fceux.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.33257
Cela pourrait être l'origine de ton infection ...
Où simplement un fichier patché par l'infection.
Pour l'autre possible que ce soit l'encryptage du fichier qui fasse réagir ... de toute manière ce genre d'outil doit être supprimé une fois utilisé ...
Met à jour immédiatement ton système vers le service pack3 et fais l'ensemble des mises à jour.
http://update.microsoft.com/microsoftupdate/v6/default....
hyunkel30 a dit :
Cela pourrait être l'origine de ton infection ...
Où simplement un fichier patché par l'infection.
C'est effectivement un fichier patché par l'infection car ce fichier est présent sur mon disque depuis plusieurs années. J'ai supprimé l'application correspondante.
hyunkel30 a dit :
Pour l'autre possible que ce soit l'encryptage du fichier qui fasse réagir ... de toute manière ce genre d'outil doit être supprimé une fois utilisé ...
Ok. Supprimé ainsi que tous les fix du même genre (Sasser, Blast, Jeefo and Co.)
hyunkel30 a dit :
Met à jour immédiatement ton système vers le service pack3 et fais l'ensemble des mises à jour.
C'était déjà fait quand je t'ai répondu mais le scan date d'avant la mise à jour SP3 car c'est la première chose que j'ai effectuée après l'installation/réparation de Win XP.
Je devrais peut-être repasser un scan complet maintenant, non ?
Re,
On y va oui.
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Clique sur "Purge d'outils"
Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime le fichier RstAssociations.scr
Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.
Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.
Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
A bientôt sur les forums Tom's Guide
On y va oui.
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Supprime le fichier RstAssociations.scr
Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.
Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
A bientôt sur les forums Tom's Guide
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumVirus win32 résolu
- ForumVirus trojan startpage résolu
- ForumRootkit c windows svchost.exe detecte
- ForumAlerte de sécurité windows virus
- ForumSecurity tool virus persistant .
- ForumVirus sécurité windows
- ForumProbleme avec windows vista repair, rootkit
- ForumVirus persistant vilsel trojan.downloader
- ForumEnvoyer un virus sur une adresse email
- ForumInternet explorer infecté virus
- Voir plus
